Mengumpulkan log tombol Dell
Parser ini mengekstrak log tombol Dell, menormalisasi stempel waktu, dan menggunakan pola grok untuk menyusun pesan log menjadi key-value pair. Kemudian, alat ini memetakan kolom yang diekstrak ini ke Model Data Terpadu (UDM), menangani berbagai format log, dan memperkaya data dengan informasi kontekstual seperti detail aset dan tingkat keparahan keamanan.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd
. - Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki koneksi aktif dan kredensial administratif untuk switch Dell.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen BindPlane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi Penginstalan Tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: sell_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID Pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang Agen BindPlane untuk menerapkan perubahan
Di Linux, untuk memulai ulang Agen BindPlane, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Di Windows, untuk memulai ulang Agen BindPlane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi ekspor Syslog dari switch Dell
- Hubungkan ke switch Dell menggunakan SSH atau port konsol.
- Login dengan kredensial administratif.
Gunakan perintah berikut untuk menentukan alamat IP atau nama host server syslog (ganti
<syslog_server_ip>
,<udp|tcp>
, dan<syslog-port-number>
dengan detail sebenarnya):logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
Opsional: Tentukan tingkat keparahan minimum untuk pesan yang akan dikirim ke server syslog. Misalnya, untuk mencatat pesan informasi dan yang lebih tinggi:
logging level informational
Simpan konfigurasi yang sedang berjalan ke konfigurasi startup untuk memastikan perubahan tetap ada di seluruh mulai ulang:
copy running-config startup-config
Simpan konfigurasi:
write memory
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
acct |
principal.user.userid |
Digunakan sebagai userid jika kolom user tidak ada. |
addr |
principal.asset.ip , principal.ip |
Diurai sebagai alamat IP dan digunakan untuk IP akun utama dan IP aset jika merupakan IP yang valid dan berbeda dari nama host. |
application |
principal.application |
Dipetakan secara langsung. |
asset |
principal.asset.attribute.labels.value |
Dipetakan langsung ke nilai label aset, dengan kunci yang di-hardcode sebagai "Nama Aset". Jika kolom aset kosong dan pesan berisi "Dell", aset akan ditetapkan ke "Dell". |
auid |
principal.resource.attribute.labels.value |
Dipetakan langsung ke label dengan kunci auid dalam principal.resource.attribute.labels . |
datetime |
metadata.event_timestamp |
Diurai dari berbagai format di kolom pesan dan dikonversi menjadi stempel waktu. |
dest_ip |
target.asset.ip , target.ip |
Dipetakan ke IP target dan IP aset target. |
enterpriseId |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci enterpriseId dalam principal.resource.attribute.labels . |
exe |
sec_result.detection_fields.value |
Dipetakan ke kolom deteksi dengan kunci exe . |
File |
target.file.full_path |
Dipetakan secara langsung. |
grantors |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci grantors dalam principal.resource.attribute.labels . |
host |
principal.hostname , principal.asset.hostname , metadata.event_type |
Digunakan sebagai nama host utama dan nama host aset. Jika host ada, metadata.event_type akan ditetapkan ke STATUS_UPDATE . Jika nama host ada tetapi host tidak ada, nama host akan digunakan sebagai host. |
hostname |
principal.asset.ip , principal.ip , host |
Jika merupakan IP yang valid, digunakan untuk IP utama dan IP aset. Jika kosong, host akan digunakan sebagai host . |
ID |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci ID dalam principal.resource.attribute.labels . |
ip |
principal.asset.ip , principal.ip |
Dipetakan ke IP utama dan IP aset. |
is_synced |
sec_result.detection_fields.value |
Dipetakan ke kolom deteksi dengan kunci is_synced . |
local |
target.asset.ip , target.ip , target.port |
Diurai untuk mengekstrak IP dan port lokal, yang dipetakan ke IP target, IP aset target, dan port target. |
local_ip |
target.asset.ip , target.ip |
Diekstrak dari kolom local dan dipetakan ke IP target dan IP aset target. |
local_port |
target.port |
Diekstrak dari kolom local dan dipetakan ke port target. |
mac |
principal.mac |
Jika alamat MAC valid, dipetakan ke alamat MAC utama. |
msg |
metadata.description |
Digunakan sebagai deskripsi peristiwa jika ada. Juga diuraikan untuk kolom tambahan. |
msg1 |
metadata.description |
Digunakan sebagai deskripsi peristiwa jika msg2 tidak ada. |
msg2 |
sec_result.description , metadata.event_type , extensions.auth.type |
Digunakan sebagai deskripsi hasil keamanan. Jika berisi "dibuka untuk pengguna", jenis peristiwa ditetapkan ke USER_LOGIN dan jenis autentikasi ke MACHINE . Jika berisi "tertutup untuk pengguna", jenis peristiwa ditetapkan ke USER_LOGOUT dan jenis autentikasi ke MACHINE . |
op |
metadata.product_event_type |
Digunakan sebagai jenis peristiwa produk jika ada. |
pid |
principal.process.pid |
Dipetakan secara langsung. |
port |
principal.port |
Dipetakan secara langsung. |
prod_event_type |
metadata.product_event_type |
Digunakan sebagai jenis peristiwa produk jika ada. |
res |
sec_result.summary |
Dipetakan secara langsung. |
sec_description |
sec_result.description , target.url , target.ip , target.asset.ip , sec_result.action_details |
Diurai untuk URL target, IP, detail tindakan, dan digunakan sebagai deskripsi hasil keamanan. |
Server_ID |
target.resource.product_object_id |
Dipetakan secara langsung. |
server |
principal.asset.ip , principal.ip , principal.port |
Diurai untuk mengekstrak IP dan port server, yang dipetakan ke IP utama, IP aset utama, dan port utama. |
server_ip |
principal.asset.ip , principal.ip |
Diekstrak dari kolom server dan dipetakan ke IP utama dan IP aset utama. |
server_port |
principal.port |
Diekstrak dari kolom server dan dipetakan ke port utama. |
ses |
network.session_id |
Dipetakan secara langsung. |
severity |
sec_result.severity , metadata.product_event_type |
Digunakan untuk menentukan tingkat keparahan hasil keamanan dan jenis peristiwa produk berdasarkan nilai tertentu. |
software |
principal.asset.software |
Dipetakan secara langsung. |
softwareName |
software.name |
Dipetakan secara langsung. |
Status |
sec_result.summary |
Digunakan sebagai ringkasan hasil keamanan jika res tidak ada. |
subj |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci subj dalam principal.resource.attribute.labels . |
swVersion |
software.version |
Dipetakan secara langsung. |
target_host |
target.hostname , target.asset.hostname |
Dipetakan langsung ke nama host target dan nama host aset target. |
target_ip |
target.asset.ip , target.ip |
Dipetakan langsung ke IP target dan IP aset target. |
target_url |
target.url |
Dipetakan secara langsung. |
target_user_id |
target.user.userid |
Dipetakan secara langsung. |
terminal |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci terminal dalam principal.resource.attribute.labels . |
tzknown |
sec_result.detection_fields.value |
Dipetakan ke kolom deteksi dengan kunci tzknown . |
uid |
principal.resource.attribute.labels.value |
Dipetakan ke label dengan kunci uid dalam principal.resource.attribute.labels . |
user |
principal.user.userid , metadata.event_type |
Digunakan sebagai ID pengguna utama. Jika user ada, metadata.event_type akan ditetapkan ke USER_UNCATEGORIZED . |
username |
target.user.userid |
Dipetakan langsung ke ID pengguna target. |
T/A | metadata.vendor_name |
Di-hardcode ke "Dell". |
T/A | metadata.product_name |
Di-hardcode ke "Dell Switch". |
T/A | extensions.auth.type |
Tetapkan ke MACHINE untuk peristiwa login/logout tertentu. |
T/A | metadata.event_type |
Ditentukan oleh logika kompleks berdasarkan berbagai kolom dan kondisi, secara default adalah GENERIC_EVENT jika tidak ditetapkan. Dapat berupa USER_LOGIN , USER_LOGOUT , USER_UNCATEGORIZED , NETWORK_CONNECTION , NETWORK_UNCATEGORIZED , STATUS_UPDATE , atau GENERIC_EVENT . |
Perubahan
2024-04-25
- Menambahkan pola Grok untuk mengurai jenis log baru.
- Memetakan
op
kemetadata.product_event_type
. - Memetakan
mac
keprincipal.mac
. - Memetakan
addr
keprincipal.ip
. - Memetakan
hostname
keprincipal.ip
. - Memetakan
server_ip
keprincipal.ip
. - Memetakan
server_port
keprincipal.port
. - Memetakan
acct
keprincipal.user.userid
. - Memetakan
target_ip
ketarget.ip
. - Memetakan
local_ip
ketarget.ip
. - Memetakan
local_port
ketarget.port
. - Memetakan
File
ketarget.file.full_path
. - Memetakan
target_host
ketarget.hostname
. - Memetakan
target_user_id
ketarget.user.userid
. - Memetakan
Server_ID
ketarget.resource.product_object_id
. - Memetakan
tzknown
,is_synced
, danexe
kesecurity_result.detection_fields
. - Memetakan
res
kesecurity_result.summary
. - Jika nilai kolom
res
adalah "", petakanstatus
kesecurity_result.summary
. - Memetakan
uid
,enterpriseId
,auid
,terminal
,subj
,grantors
, danID
keprincipal.resource.attribute.labels
.
2024-04-04
- Menambahkan pola Grok untuk mengurai jenis log baru.
- Memetakan
prod_event_type
kemetadata.product_event_type
. - Memetakan
ip
keprincipal.ip
. - Memetakan
dest_ip
ketarget.ip
. - Memetakan
target_url
ketarget.url
. - Memetakan
sec_description
kesecurity_result.description
. - Memetakan
action_details
kesecurity_result.action_details
.
2024-01-04
- Menambahkan pola Grok untuk log yang baru ditransfer.
- Menambahkan blok tanggal saat
datetime
dalam formatSYSLOGTIMESTAMP
. - Memetakan
softwareName
keprincipal.asset.software.name
. - Memetakan
swVersion
keprincipal.asset.software.version
. - Memetakan
port
keprincipal_port
. - Memetakan
user
keprincipal.user.userid
dan menetapkanmetadata.event_type
keUSER_UNCATEGORIZED
saatuser
ada. - Memetakan
application
keprincipal.application
. - Memetakan
ip
keprincipal.ip
. - Tetapkan
sec_result.severity
keINFORMATIONAL
saatseverity
adalahIFMGR-5-OSTATE_DN
. - Memetakan
msg
kemetadata.description
.
2023-11-02
- Parser yang baru dibuat.