收集 Dell ECS 日志
支持的平台:
Google SecOps
SIEM
此解析器会从 DELL ECS syslog 消息中提取字段,并将其映射到 UDM。它专门处理 UPDATE
和 DELETE
事件类型,会提取登录/退出事件的用户和 IP 信息。其他事件被归类为 GENERIC_EVENT
。它使用 Grok 模式解析消息,并通过更改过滤条件来填充 UDM 字段,从而丢弃与预期格式不匹配的事件。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了带有
systemd
的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Dell ECS 的超级用户访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml
文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/
目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: dell_ecs raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>
替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json
更新为身份验证文件的保存路径。
重启 BindPlane 代理以应用更改
在 Linux 中,如需重启 BindPlane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
在 Windows 中,如需重启 BindPlane Agent,您可以使用 Services 控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Dell ECS 以将日志转发到 Syslog 服务器
- 使用管理员凭据登录 ECS 管理门户。
- 依次前往设置 > 事件通知 > Syslog。
- 点击新建服务器。
- 提供以下详细信息:
- 协议:选择 UDP 或 TCP(确保与 Syslog 服务器上配置的协议一致)。
- 目标:输入 syslog 服务器的 IP 地址或完全限定域名 (FQDN)。
- 端口:输入端口号。
- 严重程度:选择信息作为要转发的日志的最低严重级别。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
data | read_only_udm.metadata.description | 如果 eventType 为 UPDATE,系统会使用正则表达式从 data 字段中提取说明。如果 eventType 为 DELETE,系统会使用正则表达式从 data 字段中提取说明,并进一步处理以提取用户 ID。 |
data | read_only_udm.principal.ip | 如果 eventType 为 UPDATE,系统会使用正则表达式从 data 字段中提取 IP 地址。 |
data | read_only_udm.target.resource.product_object_id | 如果 eventType 为 DELETE,系统会使用正则表达式从 data 字段中提取 URN 令牌。 |
data | read_only_udm.target.user.userid | 如果 eventType 为 UPDATE,系统会使用正则表达式从 data 字段中提取用户 ID。如果 eventType 为 DELETE,系统会在对 data 字段进行初始处理后,从 description 字段中提取用户 ID。 |
eventType | read_only_udm.metadata.event_type | 如果 eventType 为 UPDATE 且提取了 userid,则事件类型会设为 USER_LOGIN。如果 eventType 为 DELETE 且提取了 userid,则事件类型会设为 USER_LOGOUT。否则,事件类型会设置为 GENERIC_EVENT。 |
eventType | read_only_udm.metadata.product_event_type | 此值是通过将原始日志中的 serviceType 和 eventType 字段串联而得,并用方括号括起来并以“-”分隔。 |
hostname | read_only_udm.principal.asset.hostname | 主机名会从 hostname 字段复制。 |
hostname | read_only_udm.principal.hostname | 主机名会从 hostname 字段复制。 |
log_type | read_only_udm.metadata.log_type | 日志类型设置为 DELL_ECS。该机制已硬编码为 MECHANISM_UNSPECIFIED。事件时间戳会从原始日志条目的 timestamp 字段复制。产品名称已硬编码为 ECS。供应商名称已硬编码为 DELL。如果 eventType 为 DELETE,则资源类型会硬编码为 CREDENTIAL。 |
时间戳 | read_only_udm.metadata.event_timestamp | 事件时间戳取自原始日志条目的 timestamp 字段。 |
时间戳 | 时间戳 | 系统会从原始日志条目的 timestamp 字段解析时间戳。 |
更改
2024-03-18
- 新创建的解析器。