Esta página foi traduzida pela API Cloud Translation.

Coletar registros do HPE iLO

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir os registros do HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) no Google Security Operations usando o Bindplane. O código do analisador tenta primeiro analisar a mensagem de registro bruta como JSON. Se isso falhar, ele usará expressões regulares (padrões grok) para extrair campos da mensagem com base em formatos de registro comuns do HP iLO.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps
Host Windows 2016 ou mais recente ou Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao HPE iLO

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no HP iLO

Faça login na interface da Web do HPE iLO.
Acesse a guia Gerenciamento > Syslog remoto.
Clique em Ativar iLO Remote Syslog.
Informe os seguintes detalhes de configuração:
- Porta do syslog remoto: insira o número da porta do Bindplane (por exemplo, 514).
- Servidor syslog remoto: insira o endereço IP do Bindplane.
Clique em Enviar Syslog de teste e valide se ele foi recebido no Google SecOps.
Clique em Aplicar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento da UDM	Lógica
`data`		Esse campo é analisado e mapeado para vários campos da UDM com base no conteúdo dele.
`data.HOSTNAME`	principal.hostname	Mapeado quando o primeiro padrão grok no campo "message" corresponde ou quando o campo "description" contém "Host". Determina se event_type é STATUS_UPDATE.
`data.HOSTNAME`	network.dns.questions.name	Preenchida pela correspondência de padrões do grok "DATA" em "message". Usado para preencher dns.questions se não estiver vazio e não contiver "(?i)not found".
`data.HOSTNAME`	target.user.user_display_name	Preenchida pela correspondência de padrões do grok "DATA" em "message".
`data.IP`	target.ip	Preenchida por padrões grok que correspondem a "IP" em "message" ou "summary".
`data.WORD`	metadata.product_event_type	Preenchido pela correspondência de padrões grok "WORD" em "message".
`data.GREEDYDATA`	security_result.summary	Preenchido pela correspondência de padrões grok "GREEDYDATA" em "message". Usado para determinar network.application_protocol e event_type com base no conteúdo.
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	Preenchido pelo plug-in de data com base em vários formatos de carimbo de data/hora.
`data.MONTHNUM`		Não mapeado
`data.MONTHDAY`		Não mapeado
`data.YEAR`		Não mapeado
`data.TIME`		Não mapeado
`data.HOST`	principal.hostname	Mapeado quando o segundo padrão grok no campo "message" corresponde.
`data.INT`		Não mapeado
`data.UserAgent`	network.http.user_agent	Mapeado quando o campo `description` contém `User-Agent`.
`data.Connection`	security_result.description	Mapeado quando o campo `description` contém `Connection`.
N/A	metadata.event_type	O valor padrão é `GENERIC_EVENT`. Muda para `STATUS_UPDATE` se `data.HOSTNAME` for mapeado para principal.hostname, `NETWORK_DNS` se `question` for preenchido ou `USER_LOGIN` se `summary` contiver `Browser login`.
N/A	metadata.vendor_name	Fixado no código como `HP`.
N/A	metadata.log_type	Defina como `HPE_ILO`.
N/A	network.application_protocol	Defina como `LDAP` se `summary` contiver `LDAP` ou `DNS` se `question` estiver preenchido.
N/A	extensions.auth.type	Defina como `MACHINE` se `summary` contiver `Browser login`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.