Esta página se ha traducido con Cloud Translation API.

Recoger registros de HPE iLO

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir los registros de HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) en Google Security Operations mediante Bindplane. El código del analizador primero intenta analizar el mensaje de registro sin formato como JSON. Si no funciona, usa expresiones regulares (patrones grok) para extraer campos del mensaje en función de los formatos de registro de HP iLO habituales.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o una versión posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a HPE iLO

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog en HP iLO

Inicia sesión en la interfaz de usuario web de HPE iLO.
Ve a la pestaña Gestión > Syslog remoto.
Haga clic en Habilitar iLO Remote Syslog.
Proporcione los siguientes detalles de configuración:
- Puerto de syslog remoto: introduce el número de puerto de Bindplane (por ejemplo, 514).
- Servidor Syslog remoto: introduce la dirección IP de Bindplane.
Haz clic en Send Test Syslog (Enviar Syslog de prueba) y comprueba que se haya recibido en Google SecOps.
Haz clic en Aplicar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`data`		Este campo se analiza y se asigna a varios campos UDM en función de su contenido.
`data.HOSTNAME`	principal.hostname	Se asigna cuando coincide el primer patrón grok del campo "message" o cuando el campo "description" contiene "Host". Determina si event_type es STATUS_UPDATE.
`data.HOSTNAME`	network.dns.questions.name	Se rellena mediante el patrón grok que coincide con "DATA" en "message". Se usa para rellenar dns.questions si no está vacío y no contiene "(?i)not found".
`data.HOSTNAME`	target.user.user_display_name	Se rellena mediante el patrón grok que coincide con "DATA" en "message".
`data.IP`	target.ip	Se rellena con patrones grok que coinciden con "IP" en "message" o "summary".
`data.WORD`	metadata.product_event_type	Se rellena mediante el patrón grok que coincide con "WORD" en "message".
`data.GREEDYDATA`	security_result.summary	Se rellena mediante la coincidencia del patrón de Grok "GREEDYDATA" en "message". Se usa para determinar network.application_protocol y event_type en función de su contenido.
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	Rellenado por el complemento de fecha en función de varios formatos de marca de tiempo.
`data.MONTHNUM`		Sin asignar
`data.MONTHDAY`		Sin asignar
`data.YEAR`		Sin asignar
`data.TIME`		Sin asignar
`data.HOST`	principal.hostname	Se asigna cuando coincide el segundo patrón grok del campo "message".
`data.INT`		Sin asignar
`data.UserAgent`	network.http.user_agent	Se asigna cuando el campo `description` contiene `User-Agent`.
`data.Connection`	security_result.description	Se asigna cuando el campo `description` contiene `Connection`.
N/A	metadata.event_type	El valor predeterminado es `GENERIC_EVENT`. Cambios en `STATUS_UPDATE` si `data.HOSTNAME` se asigna correctamente a principal.hostname, `NETWORK_DNS` si `question` se rellena o `USER_LOGIN` si `summary` contiene `Browser login`.
N/A	metadata.vendor_name	Valor fijo establecido en el código fuente `HP`.
N/A	metadata.log_type	Su valor debe ser `HPE_ILO`.
N/A	network.application_protocol	Asigna el valor `LDAP` si `summary` contiene `LDAP` o `DNS` si se ha rellenado `question`.
N/A	extensions.auth.type	Se establece en `MACHINE` si `summary` contiene `Browser login`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.