Coletar registros do Dell ECS

Compatível com:

Esse analisador extrai campos das mensagens de syslog do DELL ECS e as mapeia para o UDM. Ele processa os tipos de evento UPDATE e DELETE especificamente, extraindo informações de usuário e IP para eventos de login/logout. Outros eventos são categorizados como GENERIC_EVENT. Ele usa padrões grok para analisar a mensagem e transformar os filtros para preencher os campos da UDM, descartando eventos que não correspondem ao formato esperado.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado ao Dell ECS.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: dell_ecs
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente BindPlane para aplicar as mudanças.

  • No Linux, para reiniciar o agente BindPlane, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • No Windows, para reiniciar o agente do BindPlane, use o console Services ou digite o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o Dell ECS para encaminhar registros ao servidor syslog

  1. Faça login no portal de gerenciamento do ECS usando credenciais administrativas.
  2. Acesse Configurações > Notificações de evento > Syslog.
  3. Clique em Novo servidor.
  4. Forneça os seguintes detalhes:
    • Protocolo: selecione UDP ou TCP (verifique se ele corresponde ao protocolo configurado no servidor Syslog).
    • Destino: insira o endereço IP ou o nome de domínio totalmente qualificado (FQDN, na sigla em inglês) do servidor Syslog.
    • Port: insira o número da porta.
    • Gravidade: selecione Informativo como o nível de gravidade mínimo dos registros a serem encaminhados.
  5. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
dados read_only_udm.metadata.description Se eventType for UPDATE, a descrição será extraída do campo data usando uma expressão regular. Se eventType for DELETE, a descrição será extraída do campo data usando uma expressão regular e processada para extrair o ID do usuário.
dados read_only_udm.principal.ip Se eventType for UPDATE, o endereço IP será extraído do campo data usando uma expressão regular.
dados read_only_udm.target.resource.product_object_id Se eventType for DELETE, o token URN será extraído do campo data usando uma expressão regular.
dados read_only_udm.target.user.userid Se eventType for UPDATE, o ID do usuário será extraído do campo data usando uma expressão regular. Se eventType for DELETE, o ID do usuário será extraído do campo de descrição após o processamento inicial do campo data.
eventType read_only_udm.metadata.event_type Se eventType for UPDATE e um userid for extraído, o tipo de evento será definido como USER_LOGIN. Se eventType for DELETE e um userid for extraído, o tipo de evento será definido como USER_LOGOUT. Caso contrário, o tipo de evento será definido como GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type O valor é derivado pela concatenação dos campos serviceType e eventType do registro bruto, contido em colchetes e separado por " - ".
hostname read_only_udm.principal.asset.hostname O nome do host é copiado do campo hostname.
hostname read_only_udm.principal.hostname O nome do host é copiado do campo hostname.
log_type read_only_udm.metadata.log_type O tipo de registro está definido como DELL_ECS. O mecanismo está fixado em MECHANISM_UNSPECIFIED. O carimbo de data/hora do evento é copiado do campo carimbo de data/hora da entrada de registro bruto. O nome do produto está fixado em ECS. O nome do fornecedor está fixado em DELL. Se eventType for DELETE, o tipo de recurso será fixado em CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp O carimbo de data/hora do evento é extraído do campo carimbo de data/hora da entrada de registro bruto.
timestamp timestamp O carimbo de data/hora é analisado a partir do campo carimbo de data/hora da entrada de registro bruto.

Alterações

2024-03-18

  • Parser recém-criado.