Dell OpenManage 로그 수집
이 문서에서는 Bindplane을 사용하여 Dell OpenManage 로그를 Google Security Operations에 수집하는 방법을 설명합니다. Logstash 파서 코드는 먼저 grok 패턴과 문자열 조작을 사용하여 원시 DELL_OPENMANAGE 로그에서 키-값 쌍을 추출합니다. 그런 다음 추출된 필드를 해당 통합 데이터 모델 (UDM) 필드에 매핑하여 보안 컨텍스트로 데이터를 보강하고 추가 분석을 위해 형식을 표준화합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows 2016 이상 또는
systemd
가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
- Dell OpenManage에 대한 액세스 권한
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml
파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/
디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano
,vi
, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml
파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_OPENMANAGE' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>
를 실제 고객 ID로 바꿉니다.Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json
를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agent
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
ESET PROTECT 온프레미스용 Syslog 구성
- ESET Protect 웹 콘솔에 로그인합니다.
- 알림 > 알림 정책 > 만들기로 이동합니다.
- 다음 구성 세부정보를 제공합니다.
- 알림 정책 만들기 대화상자에서 정책의 의미 있는 이름과 설명을 입력합니다.
- 정책 사용 설정 체크박스가 선택되어 있는지 확인합니다.
- 다음을 클릭합니다.
- 카테고리: 애플리케이션을 펼치고 어플라이언스 로그의 모든 카테고리와 하위 카테고리를 선택합니다.
- 다음을 클릭합니다.
- 타겟: 기본적으로 기기 선택 옵션이 선택되어 있습니다. 로그가 Bindplane으로 전달되므로 타겟 기기를 선택하지 마세요.
- 다음을 클릭합니다.
- 심각도: 모두 체크박스를 선택합니다.
- 다음을 클릭합니다.
- 작업: Syslog를 선택합니다.
- 사용 설정을 클릭하고 Bindplane 에이전트 IP 주소를 입력합니다.
- 다음을 클릭합니다.
- 마침을 클릭합니다.
UDM 매핑 테이블
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
data.HostName | read_only_udm.principal.hostname | 원시 로그의 HostName 값이 read_only_udm.principal.hostname 에 직접 매핑됩니다. |
data.IP | read_only_udm.target.ip | 원시 로그의 IP 값이 read_only_udm.target.ip 에 직접 매핑됩니다. |
data.Message | read_only_udm.metadata.description | 원시 로그의 Message 값이 read_only_udm.metadata.description 에 직접 매핑됩니다. |
data.MessageID | read_only_udm.additional.fields.value.string_value | 원시 로그의 MessageID 값이 read_only_udm.additional.fields.value.string_value 에 직접 매핑됩니다. |
data.Recommended Action | read_only_udm.additional.fields.value.string_value | 원시 로그의 Recommended Action 값이 read_only_udm.additional.fields.value.string_value 에 직접 매핑됩니다. |
data.Severity | read_only_udm.security_result.severity | 원시 로그의 Severity 값이 대문자로 변환된 후 read_only_udm.security_result.severity 에 매핑됩니다. |
data.timestamp.nanos | read_only_udm.metadata.event_timestamp.nanos | 원시 로그의 timestamp.nanos 값이 read_only_udm.metadata.event_timestamp.nanos 에 직접 매핑됩니다. |
data.timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | 원시 로그의 timestamp.seconds 값이 read_only_udm.metadata.event_timestamp.seconds 에 직접 매핑됩니다. |
read_only_udm.metadata.event_type | 이 필드는 원시 로그의 Message 필드 콘텐츠를 기반으로 결정됩니다. |
|
read_only_udm.metadata.log_type | 이 필드는 파서 코드에서 DELL_OPENMANAGE 로 하드 코딩됩니다. |
|
read_only_udm.metadata.product_name | 이 필드는 파서 코드에서 DELL_OPENMANAGE 로 하드 코딩됩니다. |
|
read_only_udm.metadata.vendor_name | 이 필드는 파서 코드에서 DELL 로 하드 코딩됩니다. |
|
read_only_udm.additional.fields.key | 이 필드 이름은 파서 코드에 하드코딩되어 있습니다. 이 필드의 값은 MessageID 또는 Recommended_Action 입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.