Dell ECS ログを収集する

このパーサーは、DELL ECS syslog メッセージからフィールドを抽出し、UDM にマッピングします。特に UPDATE イベントタイプと DELETE イベントタイプを処理し、ログイン / ログアウト イベントのユーザー情報と IP 情報を抽出します。その他のイベントは GENERIC_EVENT に分類されます。Grok パターンを使用してメッセージを解析し、フィルタを変更して UDM フィールドに入力し、想定される形式と一致しないイベントを破棄します。

始める前に

• Google Security Operations インスタンスがあることを確認します。
• Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
• プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
• Dell ECS に対する特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [収集エージェント] に移動します。
3. 取り込み認証ファイルをダウンロードします。BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [プロファイル] に移動します。
3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows のインストール

1. 管理者として [コマンド プロンプト] または [PowerShell] を開きます。

2. 次のコマンドを実行します。

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux のインストール

1. root 権限または sudo 権限でターミナルを開きます。

2. 次のコマンドを実行します。

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

その他のインストール リソース

• その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

1. 構成ファイルにアクセスします。

   • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
   • テキスト エディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

2. config.yaml ファイルを次のように編集します。

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: dell_ecs
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. インフラストラクチャの要件に応じてポートと IP アドレスを置き換えます。

4. <customer_id> は実際のお客様 ID に置き換えます。

5. [Google SecOps 取り込み認証ファイルを取得する] セクションで、/path/to/ingestion-authentication-file.json を認証ファイルが保存されているパスに更新します。

BindPlane Agent を再起動して変更を適用する

• Linux で BindPlane Agent を再起動するには、次のコマンドを実行します。

  sudo systemctl restart bindplane-agent
  

• Windows で BindPlane Agent を再起動するには、[サービス] コンソールを使用するか、次のコマンドを入力します。

  net stop BindPlaneAgent && net start BindPlaneAgent
  

ログを Syslog サーバーに転送するように Dell ECS を構成する

1. 管理者認証情報を使用して ECS 管理ポータルにログインします。
2. [設定] > [イベント通知] > [Syslog] に移動します。
3. [新しいサーバー] をクリックします。
4. 以下の詳細を入力します。
   • プロトコル: [UDP] または [TCP] を選択します（Syslog サーバーで構成されているプロトコルと一致していることを確認してください）。
   • ターゲット: Syslog サーバーのIP アドレスまたは完全修飾ドメイン名（FQDN）を入力します。
   • ポート: ポート番号を入力します。
   • 重大度: 転送するログの最小重大度レベルとして [Informational] を選択します。
5. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	論理
data	read_only_udm.metadata.description	eventType が UPDATE の場合、説明は正規表現を使用して data フィールドから抽出されます。eventType が DELETE の場合、説明は正規表現を使用して data フィールドから抽出され、さらに処理されてユーザー ID が抽出されます。
data	read_only_udm.principal.ip	eventType が UPDATE の場合、IP アドレスは正規表現を使用して data フィールドから抽出されます。
data	read_only_udm.target.resource.product_object_id	eventType が DELETE の場合、正規表現を使用して data フィールドから URN トークンが抽出されます。
data	read_only_udm.target.user.userid	eventType が UPDATE の場合、ユーザー ID は正規表現を使用して data フィールドから抽出されます。eventType が DELETE の場合、data フィールドの初期処理後に、ユーザー ID が description フィールドから抽出されます。
eventType	read_only_udm.metadata.event_type	eventType が UPDATE で、userid が抽出された場合は、イベントタイプが USER_LOGIN に設定されます。eventType が DELETE で、userid が抽出された場合は、イベントタイプが USER_LOGOUT に設定されます。それ以外の場合は、イベントタイプは GENERIC_EVENT に設定されます。
eventType	read_only_udm.metadata.product_event_type	この値は、未加工ログの serviceType フィールドと eventType フィールドを連結し、角かっこで囲んで「-」で区切ることで導出されます。
hostname	read_only_udm.principal.asset.hostname	ホスト名は [hostname] フィールドからコピーされます。
hostname	read_only_udm.principal.hostname	ホスト名は [hostname] フィールドからコピーされます。
log_type	read_only_udm.metadata.log_type	ログタイプは DELL_ECS に設定されます。メカニズムは MECHANISM_UNSPECIFIED にハードコードされています。イベントのタイムスタンプは、未加工のログエントリの timestamp フィールドからコピーされます。プロダクト名は ECS にハードコードされています。ベンダー名は DELL にハードコードされています。eventType が DELETE の場合、リソースタイプは CREDENTIAL にハードコードされます。
timestamp	read_only_udm.metadata.event_timestamp	イベント タイムスタンプは、未加工のログエントリの timestamp フィールドから取得されます。
timestamp	timestamp	タイムスタンプは、未加工のログエントリの timestamp フィールドから解析されます。

変更

2024-03-18

• 新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。