Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Dell EMC Data Domain

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Dell EMC Data Domain para o Google Security Operations através do Bindplane. O código do analisador Logstash extrai primeiro os campos principais dos registos DELL_EMC_DATA_DOMAIN não processados através de padrões grok baseados no formato da mensagem de registo. Em seguida, mapeia os campos extraídos para os campos correspondentes no esquema do modelo de dados unificado (UDM), enriquecendo os dados com contexto adicional, como o tipo de evento e o resultado de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao Dell EMC Data Domain

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi&quot; /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
   <     custom>er_id: customer_id
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_DATA_DOMAIN'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Dell EMC Data Domain

Inicie sessão no Dell EMC Data Domain através da CLI.
Apresente a configuração atual:
```
log host show
```
Ative o envio de mensagens de registo para outros sistemas:
```
log host enable
```
Adicione o IP do agente do Bindplane ao syslog através do seguinte comando. Substitua <bindplane-ip> pelo endereço IP real do agente do Bindplane.
```
log host add <bindplane-ip>
```
Adicione a porta do agente do Bindplane ao syslog através do seguinte comando. Substitua <bindplane-port> pelo número da porta do agente do Bindplane real.
```
log server-port set <bindplane-port>
```

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
app	read_only_udm.target.application	O valor é retirado do campo "app" extraído pelo primeiro analisador grok.
cmd	read_only_udm.target.process.command_line	O valor é retirado do campo "cmd" extraído pelo primeiro analisador grok ou do campo "detail" se o campo "cmd" estiver vazio.
desc	read_only_udm.metadata.description	O valor é retirado do campo "desc" extraído pelo primeiro analisador grok.
época	read_only_udm.metadata.event_timestamp.seconds	O valor é retirado do campo "epoch" e convertido numa indicação de tempo através do filtro "date".
anfitrião	read_only_udm.principal.hostname	O valor é retirado do campo "host" extraído pelo primeiro analisador grok.
id	read_only_udm.metadata.product_event_type	O valor é retirado do campo "id" extraído pelo primeiro analisador grok.
pid	read_only_udm.target.process.pid	O valor é retirado do campo "pid" extraído pelo primeiro analisador grok.
motivo	read_only_udm.security_result.description	O valor é retirado do campo "reason" extraído pelo primeiro analisador grok.
função	read_only_udm.principal.user.attribute.roles.name	O valor é retirado do campo "role" extraído pelo primeiro analisador grok.
session_id	read_only_udm.network.session_id	O valor é retirado do campo "session_id" extraído pelo primeiro analisador grok.
src_ip	read_only_udm.principal.ip	O valor é retirado do campo "src_ip" extraído pelo segundo analisador grok.
src_port	read_only_udm.principal.port	O valor é retirado do campo "src_port" extraído pelo segundo analisador grok e convertido num número inteiro.
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	O valor é retirado do campo "timestamp.nanos" do registo não processado.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	O valor é retirado do campo "timestamp.seconds" do registo não processado.
utilizador	read_only_udm.target.user.userid	O valor é retirado do campo "user" extraído pelo primeiro ou segundo analisador grok.
	read_only_udm.extensions.auth.mechanism	O valor é definido como "USERNAME_PASSWORD" se o campo "desc" corresponder a padrões específicos relacionados com eventos de início ou fim de sessão do utilizador.
	read_only_udm.metadata.event_type	O valor é determinado por uma série de declarações condicionais com base nos valores de outros campos, principalmente "desc", "src_ip" e "host".
	read_only_udm.metadata.log_type	Codificado de forma rígida para "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.product_name	Codificado de forma rígida para "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.vendor_name	Codificado de forma rígida para "DELL".
	read_only_udm.network.http.method	O valor é retirado do campo "method" extraído pelo filtro KV.
	read_only_udm.network.http.response_code	O valor é retirado do campo "response_code" extraído pelo filtro KV e convertido num número inteiro.
	read_only_udm.network.ip_protocol	O valor é derivado do campo "protocol_number_src" através de uma tabela de pesquisa e da configuração "parse_ip_protocol.include".
	read_only_udm.security_result.severity	O valor é definido como "MEDIUM" se o campo "message" contiver a string "NOTICE".
	read_only_udm.target.file.sha256	O valor é retirado do campo "sha256" extraído pelo segundo analisador grok, convertido em minúsculas e validado como uma string hexadecimal.
	read_only_udm.target.process.file.full_path	O valor é retirado do campo "path" ou "file", consoante o que não estiver vazio.
	read_only_udm.target.url	O valor é retirado do campo "uri" extraído pelo filtro KV.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.