收集 HPE iLO 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) 記錄檔擷取至 Google Security Operations。剖析器程式碼會先嘗試將原始記錄訊息剖析為 JSON。如果失敗,系統會根據常見的 HP iLO 記錄格式,使用規則運算式 (grok 模式) 從訊息中擷取欄位。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本或 Linux 主機 (含 systemd)
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • HPE iLO 的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」
  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。
  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。
  2. 按照下列方式編輯 config.yaml 檔案:

            receivers:
                udplog:
                    # Replace the port and IP address as required
                    listen_address: "0.0.0.0:514"
    
            exporters:
                chronicle/chronicle_w_labels:
                    compression: gzip
                    # Adjust the path to the credentials file you downloaded in Step 1
                    creds: '/path/to/ingestion-authentication-file.json'
                    # Replace with your actual customer ID from Step 2
                    customer_id: <customer_id>
                    endpoint: malachiteingestion-pa.googleapis.com
                    # Add optional ingestion labels for better organization
                    ingestion_labels:
                        log_type: HPE_ILO
                        raw_log_field: body
    
            service:
                pipelines:
                    logs/source0__chronicle_w_labels-0:
                        receivers:
                            - udplog
                        exporters:
                            - chronicle/chronicle_w_labels
    
  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent
    
  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 HP iLO 中設定 Syslog

  1. 登入 HPE iLO 網頁版 UI。
  2. 前往「管理」>「遠端系統記錄」分頁。
  3. 按一下「啟用」iLO 遠端系統記錄。
  4. 提供下列設定詳細資料:
    • 「遠端系統記錄檔通訊埠」:輸入 Bindplane 通訊埠編號 (例如 514)。
    • 遠端系統記錄檔伺服器:輸入 Bindplane IP 位址。
  5. 按一下「傳送測試 Syslog」,並驗證 Google SecOps 是否已收到。
  6. 按一下 [套用]

UDM 對應表

記錄欄位 UDM 對應 邏輯
data 系統會根據這個欄位的內容,剖析並對應至各種 UDM 欄位。
data.HOSTNAME principal.hostname 當「message」欄位中的第一個 grok 模式相符,或「description」欄位包含「Host」時,系統會對應此欄位。判斷 event_type 是否為 STATUS_UPDATE。
data.HOSTNAME network.dns.questions.name 由「message」中與「DATA」相符的 grok 模式填入。如果 dns.questions 不為空白且不含「(?i)not found」,則用於填入 dns.questions。
data.HOSTNAME target.user.user_display_name 由「message」中與「DATA」相符的 grok 模式填入。
data.IP target.ip 由「message」或「summary」中與「IP」相符的 grok 模式填入。
data.WORD metadata.product_event_type 由「message」中與「WORD」相符的 grok 模式填入。
data.GREEDYDATA security_result.summary 由「message」中的 grok 模式比對「GREEDYDATA」填入。根據內容判斷 network.application_protocol 和 event_type。
data.TIMESTAMP_ISO8601 metadata.event_timestamp 由日期外掛程式根據各種時間戳記格式填入。
data.MONTHNUM 未對應
data.MONTHDAY 未對應
data.YEAR 未對應
data.TIME 未對應
data.HOST principal.hostname 當「message」欄位中的第二個 Grok 模式相符時,系統會進行對應。
data.INT 未對應
data.UserAgent network.http.user_agent description 欄位包含 User-Agent 時,系統會對應此欄位。
data.Connection security_result.description description 欄位包含 Connection 時,系統會對應此欄位。
不適用 metadata.event_type 預設值為 GENERIC_EVENT。如果 data.HOSTNAME 成功對應至 principal.hostname,則為 STATUS_UPDATE;如果 question 已填入,則為 NETWORK_DNS;如果 summary 包含 Browser login,則為 USER_LOGIN
不適用 metadata.vendor_name 硬式編碼為 HP
不適用 metadata.log_type 設為 HPE_ILO
不適用 network.application_protocol 如果 summary 包含 LDAP,請設為 LDAP;如果 question 已填入值,請設為 DNS
不適用 extensions.auth.type 如果 summary 包含 Browser login,請設為 MACHINE

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。