Esta página foi traduzida pela API Cloud Translation.

Recolha registos do HPE iLO

Compatível com:

Google secops SIEM

Este documento explica como carregar os registos do HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) para o Google Security Operations através do Bindplane. O código do analisador tenta primeiro analisar a mensagem de registo não processada como JSON. Se falhar, usa expressões regulares (padrões grok) para extrair campos da mensagem com base em formatos de registo comuns do HP iLO.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao HPE iLO

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no HP iLO

Inicie sessão na IU Web do HPE iLO.
Aceda ao separador Gestão > Syslog remoto.
Clique em Ativar iLO Remote Syslog.
Indique os seguintes detalhes de configuração:
- Porta Syslog remota: introduza o número da porta do Bindplane (por exemplo, 514).
- Servidor Syslog remoto: introduza o endereço IP do Bindplane.
Clique em Enviar Syslog de teste e valide se foi recebido no Google SecOps.
Clique em Aplicar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
`data`		Este campo é analisado e mapeado para vários campos da UDM com base no respetivo conteúdo.
`data.HOSTNAME`	principal.hostname	Mapeado quando o primeiro padrão grok no campo "message" corresponde ou quando o campo "description" contém "Host". Determina se event_type é STATUS_UPDATE.
`data.HOSTNAME`	network.dns.questions.name	Preenchido pela correspondência do padrão grok "DATA" em "message". Usado para preencher dns.questions se não estiver vazio e não contiver "(?i)not found".
`data.HOSTNAME`	target.user.user_display_name	Preenchido pela correspondência do padrão grok "DATA" em "message".
`data.IP`	target.ip	Preenchido por padrões grok correspondentes a "IP" em "message" ou "summary".
`data.WORD`	metadata.product_event_type	Preenchido pela correspondência do padrão grok "WORD" em "message".
`data.GREEDYDATA`	security_result.summary	Preenchido pela correspondência de padrões grok "GREEDYDATA" em "message". Usado para determinar network.application_protocol e event_type com base no respetivo conteúdo.
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	Preenchido pelo plug-in de data com base em vários formatos de data/hora.
`data.MONTHNUM`		Não mapeado
`data.MONTHDAY`		Não mapeado
`data.YEAR`		Não mapeado
`data.TIME`		Não mapeado
`data.HOST`	principal.hostname	Mapeado quando o segundo padrão grok no campo "message" corresponde.
`data.INT`		Não mapeado
`data.UserAgent`	network.http.user_agent	Mapeado quando o campo `description` contém `User-Agent`.
`data.Connection`	security_result.description	Mapeado quando o campo `description` contém `Connection`.
N/A	metadata.event_type	A predefinição é `GENERIC_EVENT`. Alterações a `STATUS_UPDATE` se `data.HOSTNAME` for mapeado com êxito para principal.hostname, `NETWORK_DNS` se `question` for preenchido ou `USER_LOGIN` se `summary` contiver `Browser login`.
N/A	metadata.vendor_name	Codificado para `HP`.
N/A	metadata.log_type	Definido como `HPE_ILO`.
N/A	network.application_protocol	Definido como `LDAP` se `summary` contiver `LDAP` ou `DNS` se `question` estiver preenchido.
N/A	extensions.auth.type	Defina como `MACHINE` se `summary` contiver `Browser login`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.