HPE iLO 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서 코드는 먼저 원시 로그 메시지를 JSON으로 파싱하려고 시도합니다. 이 방법이 실패하면 일반적인 HP iLO 로그 형식을 기반으로 정규 표현식 (grok 패턴)을 사용하여 메시지에서 필드를 추출합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
  • HPE iLO에 대한 액세스 권한 관리

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

            receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다. 

    net stop BindPlaneAgent && net start BindPlaneAgent

HP iLO에서 Syslog 구성

  1. HPE iLO 웹 UI에 로그인합니다.
  2. 관리 > 원격 Syslog 탭으로 이동합니다.
  3. Enable iLO Remote Syslog(iLO 원격 Syslog 사용 설정)를 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 원격 Syslog 포트: Bindplane 포트 번호 (예: 514)를 입력합니다.
    • 원격 Syslog 서버: Bindplane IP 주소를 입력합니다.
  5. 테스트 Syslog 보내기를 클릭하고 Google SecOps에서 수신되었는지 확인합니다.
  6. 적용을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
data 이 필드는 콘텐츠에 따라 파싱되고 다양한 UDM 필드에 매핑됩니다.
data.HOSTNAME principal.hostname 'message' 필드의 첫 번째 grok 패턴이 일치하거나 'description' 필드에 'Host'가 포함된 경우 매핑됩니다. event_type이 STATUS_UPDATE인지 확인합니다.
data.HOSTNAME network.dns.questions.name 'message'에서 'DATA'와 일치하는 grok 패턴으로 입력됩니다. 비어 있지 않고 '(?i)not found'를 포함하지 않는 경우 dns.questions를 채우는 데 사용됩니다.
data.HOSTNAME target.user.user_display_name 'message'에서 'DATA'와 일치하는 grok 패턴으로 입력됩니다.
data.IP target.ip 'message' 또는 'summary'에서 'IP'와 일치하는 grok 패턴으로 채워집니다.
data.WORD metadata.product_event_type 'message'에서 'WORD'와 일치하는 grok 패턴으로 채워집니다.
data.GREEDYDATA security_result.summary 'message'에서 'GREEDYDATA'와 일치하는 grok 패턴으로 채워집니다. 콘텐츠를 기반으로 network.application_protocol 및 event_type을 결정하는 데 사용됩니다.
data.TIMESTAMP_ISO8601 metadata.event_timestamp 다양한 타임스탬프 형식을 기반으로 날짜 플러그인에 의해 채워집니다.
data.MONTHNUM 매핑되지 않음
data.MONTHDAY 매핑되지 않음
data.YEAR 매핑되지 않음
data.TIME 매핑되지 않음
data.HOST principal.hostname 'message' 필드의 두 번째 grok 패턴이 일치할 때 매핑됩니다.
data.INT 매핑되지 않음
data.UserAgent network.http.user_agent description 필드에 User-Agent이 포함된 경우 매핑됩니다.
data.Connection security_result.description description 필드에 Connection이 포함된 경우 매핑됩니다.
해당 사항 없음 metadata.event_type 기본값은 GENERIC_EVENT입니다. data.HOSTNAME이 principal.hostname에 매핑되면 STATUS_UPDATE로, question이 채워지면 NETWORK_DNS로, summaryBrowser login이 포함되면 USER_LOGIN로 변경됩니다.
해당 사항 없음 metadata.vendor_name HP로 하드코딩되었습니다.
해당 사항 없음 metadata.log_type HPE_ILO로 설정합니다.
해당 사항 없음 network.application_protocol summaryLDAP이 포함된 경우 LDAP로 설정하고 question이 채워진 경우 DNS로 설정합니다.
해당 사항 없음 extensions.auth.type summaryBrowser login이 포함된 경우 MACHINE로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.