Dell EMC Data Domain 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 Dell EMC Data Domain 로그를 Google Security Operations로 수집하는 방법을 설명합니다. Logstash 파서 코드는 먼저 로그 메시지 형식을 기반으로 grok 패턴을 사용하여 원시 DELL_EMC_DATA_DOMAIN 로그에서 키 필드를 추출합니다. 그런 다음 추출된 필드를 통합 데이터 모델 (UDM) 스키마의 해당 필드에 매핑하여 이벤트 유형 및 보안 결과와 같은 추가 컨텍스트로 데이터를 보강합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
- Dell EMC Data Domain에 대한 액세스 권한 관리
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_DATA_DOMAIN' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Dell EMC Data Domain의 Syslog 구성
- CLI를 사용하여 Dell EMC Data Domain에 로그인합니다.
현재 구성을 표시합니다.
log host show다른 시스템으로 로그 메시지 전송을 사용 설정합니다.
log host enable다음 명령어를 사용하여 Bindplane 에이전트 IP를 syslog에 추가합니다.
<bindplane-ip>를 실제 Bindplane 에이전트 IP 주소로 바꿉니다.log host add <bindplane-ip>다음 명령어를 사용하여 Bindplane 에이전트 포트를 syslog에 추가합니다.
<bindplane-port>를 실제 Bindplane 에이전트 포트 번호로 바꿉니다.log server-port set <bindplane-port>
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| 앱 | read_only_udm.target.application | 값은 첫 번째 grok 파서에 의해 추출된 'app' 필드에서 가져옵니다. |
| cmd | read_only_udm.target.process.command_line | 값은 첫 번째 grok 파서에서 추출한 'cmd' 필드에서 가져오거나 'cmd' 필드가 비어 있는 경우 'detail' 필드에서 가져옵니다. |
| 내림차순 | read_only_udm.metadata.description | 값은 첫 번째 grok 파서에 의해 추출된 'desc' 필드에서 가져옵니다. |
| 에포크 | read_only_udm.metadata.event_timestamp.seconds | 'epoch' 필드에서 값을 가져와 'date' 필터를 사용하여 타임스탬프로 변환합니다. |
| 호스트 | read_only_udm.principal.hostname | 값은 첫 번째 grok 파서에 의해 추출된 'host' 필드에서 가져옵니다. |
| id | read_only_udm.metadata.product_event_type | 값은 첫 번째 grok 파서에 의해 추출된 'id' 필드에서 가져옵니다. |
| pid | read_only_udm.target.process.pid | 값은 첫 번째 grok 파서에 의해 추출된 'pid' 필드에서 가져옵니다. |
| reason | read_only_udm.security_result.description | 값은 첫 번째 grok 파서에 의해 추출된 'reason' 필드에서 가져옵니다. |
| 역할 | read_only_udm.principal.user.attribute.roles.name | 값은 첫 번째 grok 파서에 의해 추출된 'role' 필드에서 가져옵니다. |
| session_id | read_only_udm.network.session_id | 값은 첫 번째 grok 파서에 의해 추출된 'session_id' 필드에서 가져옵니다. |
| src_ip | read_only_udm.principal.ip | 값은 두 번째 grok 파서에 의해 추출된 'src_ip' 필드에서 가져옵니다. |
| src_port | read_only_udm.principal.port | 값은 두 번째 grok 파서에 의해 추출된 'src_port' 필드에서 가져와 정수로 변환됩니다. |
| timestamp.nanos | read_only_udm.metadata.event_timestamp.nanos | 값은 원시 로그의 'timestamp.nanos' 필드에서 가져옵니다. |
| timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | 값은 원시 로그의 'timestamp.seconds' 필드에서 가져옵니다. |
| 사용자 | read_only_udm.target.user.userid | 값은 첫 번째 또는 두 번째 grok 파서에 의해 추출된 'user' 필드에서 가져옵니다. |
| read_only_udm.extensions.auth.mechanism | 'desc' 필드가 사용자 로그인 또는 로그아웃 이벤트와 관련된 특정 패턴과 일치하는 경우 값은 'USERNAME_PASSWORD'로 설정됩니다. | |
| read_only_udm.metadata.event_type | 이 값은 주로 'desc', 'src_ip', 'host' 필드의 값을 기반으로 하는 일련의 조건문으로 결정됩니다. | |
| read_only_udm.metadata.log_type | 'DELL_EMC_DATA_DOMAIN'으로 하드코딩됩니다. | |
| read_only_udm.metadata.product_name | 'DELL_EMC_DATA_DOMAIN'으로 하드코딩됩니다. | |
| read_only_udm.metadata.vendor_name | 'DELL'로 하드코딩됩니다. | |
| read_only_udm.network.http.method | 값은 KV 필터로 추출된 'method' 필드에서 가져옵니다. | |
| read_only_udm.network.http.response_code | 값은 KV 필터로 추출된 'response_code' 필드에서 가져와 정수로 변환됩니다. | |
| read_only_udm.network.ip_protocol | 값은 조회 테이블과 'parse_ip_protocol.include' 구성을 사용하여 'protocol_number_src' 필드에서 파생됩니다. | |
| read_only_udm.security_result.severity | 'message' 필드에 'NOTICE' 문자열이 포함된 경우 값은 'MEDIUM'으로 설정됩니다. | |
| read_only_udm.target.file.sha256 | 값은 두 번째 grok 파서에 의해 추출된 'sha256' 필드에서 가져와 소문자로 변환되고 16진수 문자열로 검증됩니다. | |
| read_only_udm.target.process.file.full_path | 값이 비어 있지 않은 'path' 또는 'file' 필드에서 가져옵니다. | |
| read_only_udm.target.url | 값은 KV 필터로 추출된 'uri' 필드에서 가져옵니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.