Collecter les journaux HPE iLO
Ce document explique comment ingérer les journaux HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) dans Google Security Operations à l'aide de Bindplane. Le code de l'analyseur tente d'abord d'analyser le message de journal brut au format JSON. Si cela ne fonctionne pas, il utilise des expressions régulières (modèles grok
) pour extraire les champs du message en fonction des formats de journaux HP iLO courants.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Instance Google SecOps
- Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
- Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
- Accès privilégié à HPE iLO
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml
. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/
sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano
,vi
ou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yaml
comme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HPE_ILO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez
<customer_id>
par le numéro client réel.Mettez à jour
/path/to/ingestion-authentication-file.json
en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agent
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer Syslog dans HP iLO
- Connectez-vous à l'interface utilisateur Web HPE iLO.
- Accédez à l'onglet Gestion > Syslog distant.
- Cliquez sur Enable (Activer) iLO Remote Syslog.
- Fournissez les informations de configuration suivantes :
- Port syslog distant : saisissez le numéro de port Bindplane (par exemple,
514
). - Serveur Syslog distant : saisissez l'adresse IP de Bindplane.
- Port syslog distant : saisissez le numéro de port Bindplane (par exemple,
- Cliquez sur Envoyer un syslog de test et vérifiez qu'il a bien été reçu dans Google SecOps.
- Cliquez sur Appliquer.
Table de mappage UDM
Champ du journal | Mappage UDM | Logique |
---|---|---|
data |
Ce champ est analysé et mappé à différents champs UDM en fonction de son contenu. | |
data.HOSTNAME |
principal.hostname | Mappé lorsque le premier modèle Grok du champ "message" correspond ou lorsque le champ "description" contient "Host". Détermine si event_type est STATUS_UPDATE. |
data.HOSTNAME |
network.dns.questions.name | Valeur renseignée par le modèle grok "DATA" dans "message". Utilisé pour remplir dns.questions s'il n'est pas vide et ne contient pas "(?i)not found". |
data.HOSTNAME |
target.user.user_display_name | Valeur renseignée par le modèle grok "DATA" dans "message". |
data.IP |
target.ip | Valeur renseignée par les modèles Grok correspondant à "IP" dans "message" ou "summary". |
data.WORD |
metadata.product_event_type | Valeur renseignée par le modèle grok correspondant au mot "WORD" dans "message". |
data.GREEDYDATA |
security_result.summary | Valeur renseignée par le modèle Grok correspondant à "GREEDYDATA" dans "message". Utilisé pour déterminer network.application_protocol et event_type en fonction de son contenu. |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | Rempli par le plug-in de date en fonction de différents formats de code temporel. |
data.MONTHNUM |
Non mappé | |
data.MONTHDAY |
Non mappé | |
data.YEAR |
Non mappé | |
data.TIME |
Non mappé | |
data.HOST |
principal.hostname | Mappé lorsque le deuxième modèle Grok du champ "message" correspond. |
data.INT |
Non mappé | |
data.UserAgent |
network.http.user_agent | Mappé lorsque le champ description contient User-Agent . |
data.Connection |
security_result.description | Mappé lorsque le champ description contient Connection . |
N/A | metadata.event_type | La valeur par défaut est GENERIC_EVENT . Modifications apportées à STATUS_UPDATE si data.HOSTNAME est correctement mappé sur principal.hostname, NETWORK_DNS si question est renseigné ou USER_LOGIN si summary contient Browser login . |
N/A | metadata.vendor_name | Codé en dur sur HP . |
N/A | metadata.log_type | Variable définie sur HPE_ILO . |
N/A | network.application_protocol | Définissez sur LDAP si summary contient LDAP , ou sur DNS si question est renseigné. |
N/A | extensions.auth.type | Définie sur MACHINE si summary contient Browser login . |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.