このページは Cloud Translation API によって翻訳されました。

Infoblox ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Infoblox ログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル INFOBLOX_DNS が付加されたパーサーに適用されます。

Infoblox を構成する

Infoblox ウェブ UI にログインします。
Infoblox のウェブ UI で、[System] > [System properties editor] > [Monitoring] を選択します。
[外部 Syslog サーバーにログを記録する] チェックボックスをオンにします。
[外部 Syslog サーバー] セクションで、プラス記号 (+) をクリックして、Google Security Operations フォワーダの新しい Syslog サーバーを追加します。
[Address] フィールドに、Google Security Operations 転送サーバー IP アドレスを入力します。
[Transport] リストで、[TCP] または [UDP] を選択します。
[ポート] フィールドにポート番号を入力します。
[ノード ID] リストで [LAN] を選択し、Syslog ヘッダーに Infoblox IP を含めます。
[使用可能] リストから、次の項目を選択して [選択済み] リストに移動します。
- DNS クエリ
- DNS レスポンス
- DHCP プロセス

Infoblox サーバーは、syslog を使用してクエリログとレスポンスログを Google Security Operations フォワーダーに転送します。

Infoblox ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する

[SIEM の設定] > [転送元] を選択します。
[新しいフォワーダーの追加] をクリックします。
[フォワーダーの名前] フィールドに一意の名前を入力します。
[送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
[コレクタ名] フィールドに、コレクタの一意の名前を入力します。
[Log type] で [Infoblox] を選択します。
[Collector type] として [Syslog] を選択します。
次の入力パラメータを構成します。
- プロトコル: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- Address: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダタイプの要件については、タイプ別のフォワーダ構成をご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、Infoblox DNS ログを SYSLOG 形式または CEF 形式で抽出し、UDM に正規化します。grok パターンを使用してさまざまなログ形式を処理し、送信元 IP や宛先 IP、DNS クエリの詳細、セキュリティ情報などの重要なフィールドを抽出して、適切な UDM フィールドにマッピングします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`agent.hostname`	`principal.hostname`	CEF 形式のログの場合、`agent.hostname` が存在する場合は `principal.hostname` にマッピングされます。
`client_ip`	`principal.ip`	CEF 形式のログの場合、`client_ip` が存在する場合は `principal.ip` にマッピングされます。
`client_port`	`principal.port`	CEF 形式のログの場合、`client_port` が存在する場合は `principal.port` にマッピングされます。
`data`	`answers.data`	元のログの `answers` セクションの `data` フィールドから抽出されます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`description`	`metadata.description`	元のログの `description` フィールドから直接マッピングされるか、`message` や `msg2` などの他のフィールドから Grok パターンを使用して抽出されます。
`dest_ip1`	`target.ip`	未加工のログから抽出され、`target.ip` にマッピングされます。
`destinationDnsDomain`	`dns_question.name`	CEF 形式のログの場合、`destinationDnsDomain` が存在する場合は `dns_question.name` にマッピングされます。
`dns_class`	`dns_question.class`	`dns_query_class_mapping.include` ルックアップテーブルを使用してマッピングされます。
`dns_domain`	`dns_question.name`	Grok パターンを使用して元のログの `message` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_name`	`dns_question.name`	Grok パターンを使用して `dns_domain` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_records`	`answers.data`	CEF 形式のログの場合、`dns_records` が存在する場合は `answers.data` にマッピングされます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`dst_ip`	`target.ip` または `target.hostname`	Grok パターンを使用して、元のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。
`dst_ip1`	`target.ip` または `target.hostname`	未加工ログの `message` フィールドまたは `msg2` フィールドから、grok パターンを使用して抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。`dst_ip` と異なる場合にのみマッピングされます。
`evt_type`	`metadata.product_event_type`	元のログの `evt_type` フィールドから直接マッピングされます。このフィールドは、Grok パターンを使用して `message` フィールドから抽出されます。
`InfobloxB1OPHIPAddress`	`principal.ip`	CEF 形式のログの場合、`InfobloxB1OPHIPAddress` が存在する場合は `principal.ip` にマッピングされます。
`InfobloxB1Region`	`principal.location.country_or_region`	CEF 形式のログの場合、`InfobloxB1Region` が存在する場合は `principal.location.country_or_region` にマッピングされます。
`InfobloxDNSQType`	`dns_question.type`	CEF 形式のログの場合、`InfobloxDNSQType` が存在する場合は `dns_question.type` にマッピングされます。
`intermediary`	`intermediary.ip` または `intermediary.hostname`	Grok パターンを使用して、元のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `intermediary.ip` にマッピングされ、それ以外の場合は `intermediary.hostname` にマッピングされます。
`msg2`	`metadata.description`、`dns.response_code`、`dns_question.name`、`target.ip`、`target.hostname`、`answers.name`、`answers.ttl`、`answers.data`、`answers.class`、`answers.type`、`security_result.severity`	Grok パターンを使用して、元のログの `message` フィールドから抽出されます。さまざまなフィールドの抽出に使用されますが、UDM に直接マッピングされません。
`name1`	`answers.name`	Grok パターンを使用して元のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`name2`	`answers.name`	Grok パターンを使用して元のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`protocol`	`network.ip_protocol`	既知のプロトコルと一致する場合は、未加工ログの `protocol` フィールドから直接マッピングされます。
`qclass`	`dns_question.class`	`dns_class` を UDM にマッピングするために使用される中間フィールド。
`qclass1`	`answers.class`	`dns_class1` を UDM にマッピングするために使用される中間フィールド。
`qclass2`	`answers.class`	`dns_class2` を UDM にマッピングするために使用される中間フィールド。
`query_type`	`dns_question.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type1`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type2`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`recursion_flag`	`network.dns.recursion_desired`	`recursion_flag` に「+」が含まれている場合、`network.dns.recursion_desired` に true としてマッピングされます。
`record_type`	`dns_question.type`	`query_type` を UDM にマッピングするために使用される中間フィールド。
`record_type1`	`answers.type`	`query_type1` を UDM にマッピングするために使用される中間フィールド。
`record_type2`	`answers.type`	`query_type2` を UDM にマッピングするために使用される中間フィールド。
`res_code`	`network.dns.response_code`	`dns_response_code.include` ルックアップテーブルを使用してマッピングされます。
`response_code`	`network.dns.response_code`	CEF 形式のログの場合、`response_code` が存在する場合は、`dns_response_code.include` ルックアップテーブルを使用して `network.dns.response_code` にマッピングされます。
`security_action`	`security_result.action`	`status` フィールドから派生します。`status` が「拒否」の場合、`security_action` は「ブロック」に設定されます。それ以外の場合は、「許可」に設定されます。
`severity`	`security_result.severity`	CEF 形式のログで、`severity` が存在し、その内容が「情報」の場合は、「INFORMATIONAL」として `security_result.severity` にマッピングされます。
`src_host`	`principal.hostname`	Grok パターンを使用して未加工ログの `description` フィールドまたは `message` フィールドから抽出され、`principal.hostname` にマッピングされます。
`src_ip`	`principal.ip` または `principal.hostname`	Grok パターンを使用して、元のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `principal.ip` にマッピングされ、それ以外の場合は `principal.hostname` にマッピングされます。
`src_port`	`principal.port`	Grok パターンを使用して元のログの `message` フィールドから抽出され、`principal.port` にマッピングされます。
`ttl1`	`answers.ttl`	Grok パターンを使用して元のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`ttl2`	`answers.ttl`	Grok パターンを使用して元のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`metadata.event_type`	`metadata.event_type`	さまざまなフィールドとパーサーロジックから派生します。他のイベントタイプが特定されない場合、デフォルトは `GENERIC_EVENT` です。有効な値は `NETWORK_DNS`、`NETWORK_CONNECTION`、`STATUS_UPDATE` です。
`metadata.log_type`	`metadata.log_type`	パーサーによって「INFOBLOX_DNS」に設定されます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「Infoblox DNS」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「INFOBLOX」に設定されます。
`metadata.product_version`	`metadata.product_version`	CEF メッセージから抽出されます。
`metadata.event_timestamp`	`metadata.event_timestamp`	`timestamp` フィールドからコピーされます。
`network.application_protocol`	`network.application_protocol`	`event_type` が「GENERIC_EVENT」または「STATUS_UPDATE」でない場合、「DNS」に設定します。

変更点

2023-10-17

未解析ログを処理するための Grok パターンを追加しました。

2023-06-19

「hostname」、「ip」、「port」を抽出する Grok パターンを記述し、それに応じて「event_type」を変更しました。

2022-02-09

「hostname」を抽出する Grok を記述し、それに応じて「event_type」を変更しました。
「src_host」を「principal.hostname」にマッピングしました。
適切な「event_type」をマッピングしました。

2023-01-19

新しい Syslog をサポートする Grok パターンを追加しました。
次のマッピングを追加しました。
ログに TCP や UDP などの IP プロトコルが含まれている場合、値は「network.ip_protocol」にマッピングされます。
ログに中間 IP アドレスまたはホスト名が含まれている場合、値は「intermediary.ip/intermediary.hostname」にマッピングされます。

2022-09-09

フィールド「syslog_timestamp」を変更し、「metadata.event_timestamp」に適切にマッピングしました。

2022-08-25

フィールド「syslog_timestamp」を「metadata.event_timestamp」にマッピングしました。
「principal.mac」にマッピングされたフィールド「smac」の grok と条件チェックを追加しました。
「network.dns.questions」にマッピングされたフィールド「dns_domain」の条件付きチェックを追加しました。
「network.dns.answers.name」にマッピングされたフィールド「name1」の条件付きチェックを追加しました。
「network.dns.answers.ttl」にマッピングされたフィールド「ttl1」の条件付きチェックを追加しました。

2022-07-15

バグ修正 - network.dns.questions.name、network.dns.answers.name、network.dns.answers.data から、最後の文字がピリオドの場合削除

2022-06-02

バグ修正 - IP が syslog ログから正しく抽出されていなかったため、正しく抽出するように grok を変更しました。
機能強化 - CEF 形式のログのサポートを追加しました。
次の新しいフィールドをマッピングしました。
InfobloxB1OPHIPAddress から principal.ip
InfobloxDNSQType を dns.questions.type に変更
destinationDnsDomain を dns.questions.name に変更
InfobloxB1Region から principal.location.country_or_region

2022-04-28

「network.dns.questions.name」フィールドから余分な単語「query:」を削除しました。