Collecter les journaux Dell ECS

Compatible avec:

Cet analyseur extrait des champs des messages syslog DELL ECS et les met en correspondance avec l'UDM. Il gère spécifiquement les types d'événements UPDATE et DELETE, en extrayant des informations sur l'utilisateur et l'adresse IP pour les événements de connexion/déconnexion. Les autres événements sont classés dans la catégorie GENERIC_EVENT. Il utilise des modèles grok pour analyser le message et modifier les filtres afin de renseigner les champs UDM, en supprimant les événements qui ne correspondent pas au format attendu.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Dell ECS.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel BindPlane sera installé.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

Installation de Windows

  1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec des droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration:

    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent BindPlane pour appliquer les modifications

  • Sous Linux, pour redémarrer l'agent BindPlane, exécutez la commande suivante:

    sudo systemctl restart bindplane-agent

  • Sous Windows, pour redémarrer l'agent BindPlane, vous pouvez utiliser la console Services ou saisir la commande suivante:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Dell ECS pour transférer les journaux vers le serveur Syslog

  1. Connectez-vous au portail de gestion ECS à l'aide d'identifiants d'administrateur.
  2. Accédez à Paramètres > Notifications d'événements > Syslog.
  3. Cliquez sur Nouveau serveur.
  4. Spécifiez les informations suivantes :
    • Protocole: sélectionnez UDP ou TCP (assurez-vous qu'il correspond au protocole configuré sur le serveur Syslog).
    • Cible: saisissez l'adresse IP ou le nom de domaine complet (FQDN) du serveur Syslog.
    • Port: saisissez le numéro de port.
    • Gravité: sélectionnez Informationnel comme niveau de gravité minimal des journaux à transférer.
  5. Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
données read_only_udm.metadata.description Si eventType est UPDATE, la description est extraite du champ data à l'aide d'une expression régulière. Si eventType est DELETE, la description est extraite du champ data à l'aide d'une expression régulière, puis traitée pour extraire l'ID utilisateur.
données read_only_udm.principal.ip Si eventType est défini sur UPDATE, l'adresse IP est extraite du champ data à l'aide d'une expression régulière.
données read_only_udm.target.resource.product_object_id Si eventType est DELETE, le jeton URN est extrait du champ data à l'aide d'une expression régulière.
données read_only_udm.target.user.userid Si eventType est UPDATE, l'ID utilisateur est extrait du champ data à l'aide d'une expression régulière. Si eventType est DELETE, l'ID utilisateur est extrait du champ de description après le traitement initial du champ data.
eventType read_only_udm.metadata.event_type Si eventType est UPDATE et qu'un userid est extrait, le type d'événement est défini sur USER_LOGIN. Si eventType est défini sur DELETE et qu'un userid est extrait, le type d'événement est défini sur USER_LOGOUT. Sinon, le type d'événement est défini sur GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type La valeur est dérivée de la concatenaison des champs serviceType et eventType du journal brut, entourés de crochets et séparés par "- ".
hostname read_only_udm.principal.asset.hostname Le nom d'hôte est copié à partir du champ hostname.
hostname read_only_udm.principal.hostname Le nom d'hôte est copié à partir du champ hostname.
log_type read_only_udm.metadata.log_type Le type de journal est défini sur DELL_ECS. Le mécanisme est codé en dur sur MECHANISM_UNSPECIFIED. Le code temporel de l'événement est copié à partir du champ code temporel de l'entrée de journal brute. Le nom du produit est codé en dur sur ECS. Le nom du fournisseur est codé en dur sur la valeur DELL. Si eventType est DELETE, le type de ressource est défini en dur sur CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp Le code temporel de l'événement est extrait du champ code temporel de l'entrée de journal brute.
timestamp timestamp L'horodatage est analysé à partir du champ code temporel de l'entrée de journal brute.

Modifications

2024-03-18

  • Analyseur nouvellement créé.