Raccogliere i log HPE iLO
Questo documento spiega come importare i log HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) in Google Security Operations utilizzando Bindplane. Il codice del parser tenta innanzitutto di analizzare il messaggio di log non elaborato come JSON. Se non riesce, utilizza le espressioni regolari (pattern grok
) per estrarre i campi dal messaggio in base ai formati di log HP iLO comuni.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Host Windows 2016 o versioni successive o Linux con systemd
- Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
- Accesso privilegiato a HPE iLO
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere, si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HPE_ILO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>
con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.json
al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agent
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog in HP iLO
- Accedi all'interfaccia utente web di HPE iLO.
- Vai alla scheda Gestione > Syslog remoto.
- Fai clic su Attiva iLO Remote Syslog.
- Fornisci i seguenti dettagli di configurazione:
- Porta syslog remoto: inserisci il numero di porta di Bindplane (ad esempio,
514
). - Server syslog remoto: inserisci l'indirizzo IP di Bindplane.
- Porta syslog remoto: inserisci il numero di porta di Bindplane (ad esempio,
- Fai clic su Invia test Syslog e verifica che sia stato ricevuto in Google SecOps.
- Fai clic su Applica.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
data |
Questo campo viene analizzato e mappato a vari campi UDM in base al suo contenuto. | |
data.HOSTNAME |
principal.hostname | Mappato quando il primo pattern grok nel campo "message" corrisponde o quando il campo "description" contiene "Host". Determina se event_type è STATUS_UPDATE. |
data.HOSTNAME |
network.dns.questions.name | Completato dalla corrispondenza del pattern Grok "DATA" in "message". Utilizzato per compilare dns.questions se non è vuoto e non contiene "(?i)not found". |
data.HOSTNAME |
target.user.user_display_name | Completato dalla corrispondenza del pattern Grok "DATA" in "message". |
data.IP |
target.ip | Compilato dai pattern grok corrispondenti a "IP" in "message" o "summary". |
data.WORD |
metadata.product_event_type | Compilato dalla corrispondenza del pattern grok "WORD" in "message". |
data.GREEDYDATA |
security_result.summary | Compilato tramite la corrispondenza del pattern grok "GREEDYDATA" in "message". Utilizzato per determinare network.application_protocol ed event_type in base ai suoi contenuti. |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | Compilato dal plug-in della data in base a vari formati di timestamp. |
data.MONTHNUM |
Non mappato | |
data.MONTHDAY |
Non mappato | |
data.YEAR |
Non mappato | |
data.TIME |
Non mappato | |
data.HOST |
principal.hostname | Mappato quando corrisponde il secondo pattern Grok nel campo "message". |
data.INT |
Non mappato | |
data.UserAgent |
network.http.user_agent | Mappato quando il campo description contiene User-Agent . |
data.Connection |
security_result.description | Mappato quando il campo description contiene Connection . |
N/D | metadata.event_type | Il valore predefinito è GENERIC_EVENT . Modifiche a STATUS_UPDATE se data.HOSTNAME viene mappato correttamente a principal.hostname, NETWORK_DNS se question è compilato o USER_LOGIN se summary contiene Browser login . |
N/D | metadata.vendor_name | Codificato in modo permanente su HP . |
N/D | metadata.log_type | Imposta su HPE_ILO . |
N/D | network.application_protocol | Imposta su LDAP se summary contiene LDAP o su DNS se question è compilato. |
N/D | extensions.auth.type | Imposta su MACHINE se summary contiene Browser login . |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.