收集 Dell ECS 日志

支持的平台:

此解析器会从 DELL ECS syslog 消息中提取字段,并将其映射到 UDM。它专门处理 UPDATEDELETE 事件类型,会提取登录/退出事件的用户和 IP 信息。其他事件被归类为 GENERIC_EVENT。它使用 Grok 模式解析消息,并通过更改过滤条件来填充 UDM 字段,从而丢弃与预期格式不匹配的事件。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了带有 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 Dell ECS 的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell
  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。
  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    • 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: dell_ecs
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分中,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 BindPlane 代理以应用更改

  • 在 Linux 中,如需重启 BindPlane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent
    
  • 在 Windows 中,如需重启 BindPlane Agent,您可以使用 Services 控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

配置 Dell ECS 以将日志转发到 Syslog 服务器

  1. 使用管理员凭据登录 ECS 管理门户。
  2. 依次前往设置 > 事件通知 > Syslog
  3. 点击新建服务器
  4. 提供以下详细信息:
    • 协议:选择 UDPTCP(确保与 Syslog 服务器上配置的协议一致)。
    • 目标:输入 syslog 服务器的 IP 地址完全限定域名 (FQDN)。
    • 端口:输入端口号
    • 严重程度:选择信息作为要转发的日志的最低严重级别。
  5. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
data read_only_udm.metadata.description 如果 eventTypeUPDATE,系统会使用正则表达式从 data 字段中提取说明。如果 eventTypeDELETE,系统会使用正则表达式从 data 字段中提取说明,并进一步处理以提取用户 ID。
data read_only_udm.principal.ip 如果 eventTypeUPDATE,系统会使用正则表达式从 data 字段中提取 IP 地址。
data read_only_udm.target.resource.product_object_id 如果 eventTypeDELETE,系统会使用正则表达式从 data 字段中提取 URN 令牌。
data read_only_udm.target.user.userid 如果 eventTypeUPDATE,系统会使用正则表达式从 data 字段中提取用户 ID。如果 eventTypeDELETE,系统会在对 data 字段进行初始处理后,从 description 字段中提取用户 ID。
eventType read_only_udm.metadata.event_type 如果 eventTypeUPDATE 且提取了 userid,则事件类型会设为 USER_LOGIN。如果 eventTypeDELETE 且提取了 userid,则事件类型会设为 USER_LOGOUT。否则,事件类型会设置为 GENERIC_EVENT
eventType read_only_udm.metadata.product_event_type 此值是通过将原始日志中的 serviceTypeeventType 字段串联而得,并用方括号括起来并以“-”分隔。
hostname read_only_udm.principal.asset.hostname 主机名会从 hostname 字段复制。
hostname read_only_udm.principal.hostname 主机名会从 hostname 字段复制。
log_type read_only_udm.metadata.log_type 日志类型设置为 DELL_ECS。该机制已硬编码为 MECHANISM_UNSPECIFIED。事件时间戳会从原始日志条目的 timestamp 字段复制。产品名称已硬编码为 ECS。供应商名称已硬编码为 DELL。如果 eventTypeDELETE,则资源类型会硬编码为 CREDENTIAL
时间戳 read_only_udm.metadata.event_timestamp 事件时间戳取自原始日志条目的 timestamp 字段。
时间戳 时间戳 系统会从原始日志条目的 timestamp 字段解析时间戳。

更改

2024-03-18

  • 新创建的解析器。