Mengumpulkan log tombol Dell

Didukung di:

Parser ini mengekstrak log tombol Dell, menormalisasi stempel waktu, dan menggunakan pola grok untuk menyusun pesan log menjadi key-value pair. Kemudian, alat ini memetakan kolom yang diekstrak ini ke Model Data Terpadu (UDM), menangani berbagai format log, dan memperkaya data dengan informasi kontekstual seperti detail aset dan tingkat keparahan keamanan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki koneksi aktif dan kredensial administratif untuk switch Dell.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.
  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.
  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Referensi Penginstalan Tambahan

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).
  2. Edit file config.yaml sebagai berikut:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: sell_switch
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID Pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen BindPlane untuk menerapkan perubahan

  • Di Linux, untuk memulai ulang Agen BindPlane, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent
    
  • Di Windows, untuk memulai ulang Agen BindPlane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Mengonfigurasi ekspor Syslog dari switch Dell

  1. Hubungkan ke switch Dell menggunakan SSH atau port konsol.
  2. Login dengan kredensial administratif.
  3. Gunakan perintah berikut untuk menentukan alamat IP atau nama host server syslog (ganti <syslog_server_ip>, <udp|tcp>, dan <syslog-port-number> dengan detail sebenarnya):

    logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
    
  4. Opsional: Tentukan tingkat keparahan minimum untuk pesan yang akan dikirim ke server syslog. Misalnya, untuk mencatat pesan informasi dan yang lebih tinggi:

    logging level informational
    
  5. Simpan konfigurasi yang sedang berjalan ke konfigurasi startup untuk memastikan perubahan tetap ada di seluruh mulai ulang:

    copy running-config startup-config
    
  6. Simpan konfigurasi:

    write memory
    

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
acct principal.user.userid Digunakan sebagai userid jika kolom user tidak ada.
addr principal.asset.ip, principal.ip Diurai sebagai alamat IP dan digunakan untuk IP akun utama dan IP aset jika merupakan IP yang valid dan berbeda dari nama host.
application principal.application Dipetakan secara langsung.
asset principal.asset.attribute.labels.value Dipetakan langsung ke nilai label aset, dengan kunci yang di-hardcode sebagai "Nama Aset". Jika kolom aset kosong dan pesan berisi "Dell", aset akan ditetapkan ke "Dell".
auid principal.resource.attribute.labels.value Dipetakan langsung ke label dengan kunci auid dalam principal.resource.attribute.labels.
datetime metadata.event_timestamp Diurai dari berbagai format di kolom pesan dan dikonversi menjadi stempel waktu.
dest_ip target.asset.ip, target.ip Dipetakan ke IP target dan IP aset target.
enterpriseId principal.resource.attribute.labels.value Dipetakan ke label dengan kunci enterpriseId dalam principal.resource.attribute.labels.
exe sec_result.detection_fields.value Dipetakan ke kolom deteksi dengan kunci exe.
File target.file.full_path Dipetakan secara langsung.
grantors principal.resource.attribute.labels.value Dipetakan ke label dengan kunci grantors dalam principal.resource.attribute.labels.
host principal.hostname, principal.asset.hostname, metadata.event_type Digunakan sebagai nama host utama dan nama host aset. Jika host ada, metadata.event_type akan ditetapkan ke STATUS_UPDATE. Jika nama host ada tetapi host tidak ada, nama host akan digunakan sebagai host.
hostname principal.asset.ip, principal.ip, host Jika merupakan IP yang valid, digunakan untuk IP utama dan IP aset. Jika kosong, host akan digunakan sebagai host.
ID principal.resource.attribute.labels.value Dipetakan ke label dengan kunci ID dalam principal.resource.attribute.labels.
ip principal.asset.ip, principal.ip Dipetakan ke IP utama dan IP aset.
is_synced sec_result.detection_fields.value Dipetakan ke kolom deteksi dengan kunci is_synced.
local target.asset.ip, target.ip, target.port Diurai untuk mengekstrak IP dan port lokal, yang dipetakan ke IP target, IP aset target, dan port target.
local_ip target.asset.ip, target.ip Diekstrak dari kolom local dan dipetakan ke IP target dan IP aset target.
local_port target.port Diekstrak dari kolom local dan dipetakan ke port target.
mac principal.mac Jika alamat MAC valid, dipetakan ke alamat MAC utama.
msg metadata.description Digunakan sebagai deskripsi peristiwa jika ada. Juga diuraikan untuk kolom tambahan.
msg1 metadata.description Digunakan sebagai deskripsi peristiwa jika msg2 tidak ada.
msg2 sec_result.description, metadata.event_type, extensions.auth.type Digunakan sebagai deskripsi hasil keamanan. Jika berisi "dibuka untuk pengguna", jenis peristiwa ditetapkan ke USER_LOGIN dan jenis autentikasi ke MACHINE. Jika berisi "tertutup untuk pengguna", jenis peristiwa ditetapkan ke USER_LOGOUT dan jenis autentikasi ke MACHINE.
op metadata.product_event_type Digunakan sebagai jenis peristiwa produk jika ada.
pid principal.process.pid Dipetakan secara langsung.
port principal.port Dipetakan secara langsung.
prod_event_type metadata.product_event_type Digunakan sebagai jenis peristiwa produk jika ada.
res sec_result.summary Dipetakan secara langsung.
sec_description sec_result.description, target.url, target.ip, target.asset.ip, sec_result.action_details Diurai untuk URL target, IP, detail tindakan, dan digunakan sebagai deskripsi hasil keamanan.
Server_ID target.resource.product_object_id Dipetakan secara langsung.
server principal.asset.ip, principal.ip, principal.port Diurai untuk mengekstrak IP dan port server, yang dipetakan ke IP utama, IP aset utama, dan port utama.
server_ip principal.asset.ip, principal.ip Diekstrak dari kolom server dan dipetakan ke IP utama dan IP aset utama.
server_port principal.port Diekstrak dari kolom server dan dipetakan ke port utama.
ses network.session_id Dipetakan secara langsung.
severity sec_result.severity, metadata.product_event_type Digunakan untuk menentukan tingkat keparahan hasil keamanan dan jenis peristiwa produk berdasarkan nilai tertentu.
software principal.asset.software Dipetakan secara langsung.
softwareName software.name Dipetakan secara langsung.
Status sec_result.summary Digunakan sebagai ringkasan hasil keamanan jika res tidak ada.
subj principal.resource.attribute.labels.value Dipetakan ke label dengan kunci subj dalam principal.resource.attribute.labels.
swVersion software.version Dipetakan secara langsung.
target_host target.hostname, target.asset.hostname Dipetakan langsung ke nama host target dan nama host aset target.
target_ip target.asset.ip, target.ip Dipetakan langsung ke IP target dan IP aset target.
target_url target.url Dipetakan secara langsung.
target_user_id target.user.userid Dipetakan secara langsung.
terminal principal.resource.attribute.labels.value Dipetakan ke label dengan kunci terminal dalam principal.resource.attribute.labels.
tzknown sec_result.detection_fields.value Dipetakan ke kolom deteksi dengan kunci tzknown.
uid principal.resource.attribute.labels.value Dipetakan ke label dengan kunci uid dalam principal.resource.attribute.labels.
user principal.user.userid, metadata.event_type Digunakan sebagai ID pengguna utama. Jika user ada, metadata.event_type akan ditetapkan ke USER_UNCATEGORIZED.
username target.user.userid Dipetakan langsung ke ID pengguna target.
T/A metadata.vendor_name Di-hardcode ke "Dell".
T/A metadata.product_name Di-hardcode ke "Dell Switch".
T/A extensions.auth.type Tetapkan ke MACHINE untuk peristiwa login/logout tertentu.
T/A metadata.event_type Ditentukan oleh logika kompleks berdasarkan berbagai kolom dan kondisi, secara default adalah GENERIC_EVENT jika tidak ditetapkan. Dapat berupa USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, NETWORK_CONNECTION, NETWORK_UNCATEGORIZED, STATUS_UPDATE, atau GENERIC_EVENT.

Perubahan

2024-04-25

  • Menambahkan pola Grok untuk mengurai jenis log baru.
  • Memetakan op ke metadata.product_event_type.
  • Memetakan mac ke principal.mac.
  • Memetakan addr ke principal.ip.
  • Memetakan hostname ke principal.ip.
  • Memetakan server_ip ke principal.ip.
  • Memetakan server_port ke principal.port.
  • Memetakan acct ke principal.user.userid.
  • Memetakan target_ip ke target.ip.
  • Memetakan local_ip ke target.ip.
  • Memetakan local_port ke target.port.
  • Memetakan File ke target.file.full_path.
  • Memetakan target_host ke target.hostname.
  • Memetakan target_user_id ke target.user.userid.
  • Memetakan Server_ID ke target.resource.product_object_id.
  • Memetakan tzknown, is_synced, dan exe ke security_result.detection_fields.
  • Memetakan res ke security_result.summary.
  • Jika nilai kolom res adalah "", petakan status ke security_result.summary.
  • Memetakan uid, enterpriseId, auid, terminal, subj, grantors, dan ID ke principal.resource.attribute.labels.

2024-04-04

  • Menambahkan pola Grok untuk mengurai jenis log baru.
  • Memetakan prod_event_type ke metadata.product_event_type.
  • Memetakan ip ke principal.ip.
  • Memetakan dest_ip ke target.ip.
  • Memetakan target_url ke target.url.
  • Memetakan sec_description ke security_result.description.
  • Memetakan action_details ke security_result.action_details.

2024-01-04

  • Menambahkan pola Grok untuk log yang baru ditransfer.
  • Menambahkan blok tanggal saat datetime dalam format SYSLOGTIMESTAMP.
  • Memetakan softwareName ke principal.asset.software.name.
  • Memetakan swVersion ke principal.asset.software.version.
  • Memetakan port ke principal_port.
  • Memetakan user ke principal.user.userid dan menetapkan metadata.event_type ke USER_UNCATEGORIZED saat user ada.
  • Memetakan application ke principal.application.
  • Memetakan ip ke principal.ip.
  • Tetapkan sec_result.severity ke INFORMATIONAL saat severity adalah IFMGR-5-OSTATE_DN.
  • Memetakan msg ke metadata.description.

2023-11-02

  • Parser yang baru dibuat.