Raccogliere i log HPE iLO

Supportato in:

Questo documento spiega come importare i log HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) in Google Security Operations utilizzando Bindplane. Il codice del parser tenta innanzitutto di analizzare il messaggio di log non elaborato come JSON. Se non riesce, utilizza le espressioni regolari (pattern grok) per estrarre i campi dal messaggio in base ai formati di log HP iLO comuni.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Host Windows 2016 o versioni successive o Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso privilegiato a HPE iLO

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

            receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog in HP iLO

  1. Accedi all'interfaccia utente web di HPE iLO.
  2. Vai alla scheda Gestione > Syslog remoto.
  3. Fai clic su Attiva iLO Remote Syslog.
  4. Fornisci i seguenti dettagli di configurazione:
    • Porta syslog remoto: inserisci il numero di porta di Bindplane (ad esempio, 514).
    • Server syslog remoto: inserisci l'indirizzo IP di Bindplane.
  5. Fai clic su Invia test Syslog e verifica che sia stato ricevuto in Google SecOps.
  6. Fai clic su Applica.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
data Questo campo viene analizzato e mappato a vari campi UDM in base al suo contenuto.
data.HOSTNAME principal.hostname Mappato quando il primo pattern grok nel campo "message" corrisponde o quando il campo "description" contiene "Host". Determina se event_type è STATUS_UPDATE.
data.HOSTNAME network.dns.questions.name Completato dalla corrispondenza del pattern Grok "DATA" in "message". Utilizzato per compilare dns.questions se non è vuoto e non contiene "(?i)not found".
data.HOSTNAME target.user.user_display_name Completato dalla corrispondenza del pattern Grok "DATA" in "message".
data.IP target.ip Compilato dai pattern grok corrispondenti a "IP" in "message" o "summary".
data.WORD metadata.product_event_type Compilato dalla corrispondenza del pattern grok "WORD" in "message".
data.GREEDYDATA security_result.summary Compilato tramite la corrispondenza del pattern grok "GREEDYDATA" in "message". Utilizzato per determinare network.application_protocol ed event_type in base ai suoi contenuti.
data.TIMESTAMP_ISO8601 metadata.event_timestamp Compilato dal plug-in della data in base a vari formati di timestamp.
data.MONTHNUM Non mappato
data.MONTHDAY Non mappato
data.YEAR Non mappato
data.TIME Non mappato
data.HOST principal.hostname Mappato quando corrisponde il secondo pattern Grok nel campo "message".
data.INT Non mappato
data.UserAgent network.http.user_agent Mappato quando il campo description contiene User-Agent.
data.Connection security_result.description Mappato quando il campo description contiene Connection.
N/D metadata.event_type Il valore predefinito è GENERIC_EVENT. Modifiche a STATUS_UPDATE se data.HOSTNAME viene mappato correttamente a principal.hostname, NETWORK_DNS se question è compilato o USER_LOGIN se summary contiene Browser login.
N/D metadata.vendor_name Codificato in modo permanente su HP.
N/D metadata.log_type Imposta su HPE_ILO.
N/D network.application_protocol Imposta su LDAP se summary contiene LDAP o su DNS se question è compilato.
N/D extensions.auth.type Imposta su MACHINE se summary contiene Browser login.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.