Dell ECS 로그 수집

bookmark_border 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 파서는 DELL ECS syslog 메시지에서 필드를 추출하여 UDM에 매핑합니다. 특히 UPDATE 및 DELETE 이벤트 유형을 처리하여 로그인/로그아웃 이벤트의 사용자 및 IP 정보를 추출합니다. 기타 이벤트는 GENERIC_EVENT로 분류됩니다. grok 패턴을 사용하여 메시지를 파싱하고 필터를 변형하여 UDM 필드를 채우고 예상 형식과 일치하지 않는 이벤트를 삭제합니다.

시작하기 전에

• Google Security Operations 인스턴스가 있는지 확인합니다.
• Windows 2016 이상 또는 systemd를 사용하는 Linux 호스트를 사용하고 있는지 확인합니다.
• 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
• Dell ECS에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 수집 에이전트로 이동합니다.
3. 처리 인증 파일을 다운로드합니다. Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 프로필로 이동합니다.
3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

2. 다음 명령어를 실행합니다.

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 설치

1. 루트 또는 sudo 권한으로 터미널을 엽니다.

2. 다음 명령어를 실행합니다.

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

추가 설치 리소스

• 추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

1. 구성 파일에 액세스합니다.

   • config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
   • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

2. 다음과 같이 config.yaml 파일을 수정합니다.

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: dell_ecs
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

4. <customer_id>를 실제 고객 ID로 바꿉니다.

5. /path/to/ingestion-authentication-file.json를 Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

• Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

  sudo systemctl restart bindplane-agent
  

• Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

  net stop BindPlaneAgent && net start BindPlaneAgent
  

syslog 서버로 로그를 전달하도록 Dell ECS 구성

1. 관리자 사용자 인증 정보를 사용하여 ECS 관리 포털에 로그인합니다.
2. 설정 > 이벤트 알림 > Syslog로 이동합니다.
3. 새 서버를 클릭합니다.
4. 다음 세부정보를 제공합니다.
   • 프로토콜: UDP 또는 TCP 중 하나를 선택합니다 (Syslog 서버에 구성된 프로토콜과 일치하는지 확인).
   • 대상: syslog 서버의 IP 주소 또는 정규화된 도메인 이름 (FQDN)을 입력합니다.
   • 포트: 포트 번호를 입력합니다.
   • 심각도: 전달할 로그의 최소 심각도 수준으로 정보를 선택합니다.
5. 저장을 클릭합니다.

UDM 매핑 표

변경사항

2024-03-18

• 파서를 새로 만들었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.