Mengumpulkan log Dell ECS

Didukung di:

Parser ini mengekstrak kolom dari pesan syslog DELL ECS, yang memetakan kolom tersebut ke UDM. Fungsi ini menangani jenis peristiwa UPDATE dan DELETE secara khusus, mengekstrak informasi pengguna dan IP untuk peristiwa login/logout. Peristiwa lainnya dikategorikan sebagai GENERIC_EVENT. Fungsi ini menggunakan pola grok untuk mengurai pesan dan mengubah filter untuk mengisi kolom UDM, menghapus peristiwa yang tidak cocok dengan format yang diharapkan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Dell ECS.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi Penginstalan Tambahan

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID Pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen BindPlane untuk menerapkan perubahan

  • Di Linux, untuk memulai ulang Agen BindPlane, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Di Windows, untuk memulai ulang Agen BindPlane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Dell ECS untuk Meneruskan Log ke Server Syslog

  1. Login ke portal pengelolaan ECS menggunakan kredensial administratif.
  2. Buka Setelan > Notifikasi Peristiwa > Syslog.
  3. Klik Server Baru.
  4. Berikan detail berikut:
    • Protocol: pilih UDP atau TCP (pastikan protokol tersebut cocok dengan protokol yang dikonfigurasi di server Syslog).
    • Target: masukkan alamat IP atau Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) server Syslog.
    • Port: masukkan nomor port.
    • Keparahan: pilih Informasional sebagai tingkat keparahan minimum log yang akan diteruskan.
  5. Klik Save.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
data read_only_udm.metadata.description Jika eventType adalah UPDATE, deskripsi diekstrak dari kolom data menggunakan ekspresi reguler. Jika eventType adalah DELETE, deskripsi diekstrak dari kolom data menggunakan ekspresi reguler dan diproses lebih lanjut untuk mengekstrak ID pengguna.
data read_only_udm.principal.ip Jika eventType adalah UPDATE, alamat IP diekstrak dari kolom data menggunakan ekspresi reguler.
data read_only_udm.target.resource.product_object_id Jika eventType adalah DELETE, token URN diekstrak dari kolom data menggunakan ekspresi reguler.
data read_only_udm.target.user.userid Jika eventType adalah UPDATE, ID pengguna diekstrak dari kolom data menggunakan ekspresi reguler. Jika eventType adalah DELETE, ID pengguna diekstrak dari kolom deskripsi setelah pemrosesan awal kolom data.
eventType read_only_udm.metadata.event_type Jika eventType adalah UPDATE dan userid diekstrak, jenis peristiwa ditetapkan ke USER_LOGIN. Jika eventType adalah DELETE dan userid diekstrak, jenis peristiwa ditetapkan ke USER_LOGOUT. Jika tidak, jenis peristiwa akan ditetapkan ke GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type Nilai ini diperoleh dengan menggabungkan kolom serviceType dan eventType dari log mentah, yang diapit dalam tanda kurung siku dan dipisahkan oleh " - ".
hostname read_only_udm.principal.asset.hostname Nama host disalin dari kolom hostname.
hostname read_only_udm.principal.hostname Nama host disalin dari kolom hostname.
log_type read_only_udm.metadata.log_type Jenis log ditetapkan ke DELL_ECS. Mekanisme di-hardcode ke MECHANISM_UNSPECIFIED. Stempel waktu peristiwa disalin dari kolom stempel waktu entri log mentah. Nama produk di-hardcode menjadi ECS. Nama vendor di-hardcode menjadi DELL. Jika eventType adalah DELETE, jenis resource di-hardcode ke CREDENTIAL.
stempel waktu read_only_udm.metadata.event_timestamp Stempel waktu peristiwa diambil dari kolom stempel waktu entri log mentah.
stempel waktu stempel waktu Stempel waktu diuraikan dari kolom stempel waktu entri log mentah.

Perubahan

2024-03-18

  • Parser yang baru dibuat.