Infoblox ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Infoblox ログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル INFOBLOX_DNS が付加されたパーサーに適用されます。

Infoblox を構成する

Infoblox ウェブ UI にログインします。
Infoblox のウェブ UI で、[System] > [System properties editor] > [Monitoring] を選択します。
[Log to external syslog servers] チェックボックスをオンにします。
[External syslog servers] セクションで、プラス記号 (+) をクリックして、Google Security Operations フォワーダーの新しい Syslog サーバーを追加します。
[Address] フィールドに、Google Security Operations フォワーダーサーバー IP アドレスを入力します。
[Transport] リストで、[TCP] または [UDP] を選択します。
[Port] フィールドにポート番号を入力します。
[Node ID] リストで [LAN] を選択し、Syslog ヘッダーに Infoblox IP を含めます。
[Available] リストから次の項目を選択し、[Selected] リストに移動します。
- DNS queries
- DNS responses
- DHCP process

Infoblox サーバーは、syslog を使用してクエリログとレスポンスログを Google Security Operations フォワーダーに転送します。

Infoblox ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する

[SIEM Settings] > [Forwarders] を選択します。
[新しいフォワーダーの追加] をクリックします。
[Forwarder name] フィールドに一意の名前を入力します。
[Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[Add collector configuration] ウィンドウが表示されます。
[Collector name] フィールドに、コレクタの一意の名前を入力します。
[Log type] として [Infoblox] を選択します。
[Collector type] として [Syslog] を選択します。
次の入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- Address: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダータイプの要件については、タイプ別のフォワーダー構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、Infoblox DNS ログを SYSLOG 形式または CEF 形式で抽出し、UDM に正規化します。Grok パターンを使用してさまざまなログ形式を処理し、送信元 IP や宛先 IP、DNS クエリの詳細、セキュリティ情報などの重要なフィールドを抽出して、適切な UDM フィールドにマッピングします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`agent.hostname`	`principal.hostname`	CEF 形式のログの場合、`agent.hostname` が存在する場合は `principal.hostname` にマッピングされます。
`client_ip`	`principal.ip`	CEF 形式のログの場合、`client_ip` が存在する場合は `principal.ip` にマッピングされます。
`client_port`	`principal.port`	CEF 形式のログの場合、`client_port` が存在する場合は `principal.port` にマッピングされます。
`data`	`answers.data`	未加工のログの `answers` セクションの `data` フィールドから抽出されます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`description`	`metadata.description`	未加工のログの `description` フィールドから直接マッピングされるか、`message` や `msg2` などの他のフィールドから Grok パターンを使用して抽出されます。
`dest_ip1`	`target.ip`	未加工のログから抽出され、`target.ip` にマッピングされます。
`destinationDnsDomain`	`dns_question.name`	CEF 形式のログの場合、`destinationDnsDomain` が存在する場合は `dns_question.name` にマッピングされます。
`dns_class`	`dns_question.class`	`dns_query_class_mapping.include` ルックアップテーブルを使用してマッピングされます。
`dns_domain`	`dns_question.name`	Grok パターンを使用して未加工のログの `message` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_name`	`dns_question.name`	Grok パターンを使用して `dns_domain` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_records`	`answers.data`	CEF 形式のログの場合、`dns_records` が存在する場合は `answers.data` にマッピングされます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`dst_ip`	`target.ip` または `target.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。
`dst_ip1`	`target.ip` または `target.hostname`	未加工のログの `message` フィールドまたは `msg2` フィールドから、grok パターンを使用して抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。`dst_ip` と異なる場合にのみマッピングされます。
`evt_type`	`metadata.product_event_type`	未加工のログの `evt_type` フィールドから直接マッピングされます。このフィールドは、Grok パターンを使用して `message` フィールドから抽出されます。
`InfobloxB1OPHIPAddress`	`principal.ip`	CEF 形式のログの場合、`InfobloxB1OPHIPAddress` が存在する場合は `principal.ip` にマッピングされます。
`InfobloxB1Region`	`principal.location.country_or_region`	CEF 形式のログの場合、`InfobloxB1Region` が存在する場合は `principal.location.country_or_region` にマッピングされます。
`InfobloxDNSQType`	`dns_question.type`	CEF 形式のログの場合、`InfobloxDNSQType` が存在する場合は `dns_question.type` にマッピングされます。
`intermediary`	`intermediary.ip` または `intermediary.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `intermediary.ip` にマッピングされ、それ以外の場合は `intermediary.hostname` にマッピングされます。
`msg2`	`metadata.description`, `dns.response_code`, `dns_question.name`, `target.ip`, `target.hostname`, `answers.name`, `answers.ttl`, `answers.data`, `answers.class`, `answers.type`, `security_result.severity`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。さまざまなフィールドの抽出に使用されますが、UDM に直接マッピングされません。
`name1`	`answers.name`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`name2`	`answers.name`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`protocol`	`network.ip_protocol`	既知のプロトコルと一致する場合は、未加工のログの `protocol` フィールドから直接マッピングされます。
`qclass`	`dns_question.class`	`dns_class` を UDM にマッピングするために使用される中間フィールド。
`qclass1`	`answers.class`	`dns_class1` を UDM にマッピングするために使用される中間フィールド。
`qclass2`	`answers.class`	`dns_class2` を UDM にマッピングするために使用される中間フィールド。
`query_type`	`dns_question.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type1`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type2`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`recursion_flag`	`network.dns.recursion_desired`	`recursion_flag` に「+」が含まれている場合、`network.dns.recursion_desired` に true としてマッピングされます。
`record_type`	`dns_question.type`	`query_type` を UDM にマッピングするために使用される中間フィールド。
`record_type1`	`answers.type`	`query_type1` を UDM にマッピングするために使用される中間フィールド。
`record_type2`	`answers.type`	`query_type2` を UDM にマッピングするために使用される中間フィールド。
`res_code`	`network.dns.response_code`	`dns_response_code.include` ルックアップテーブルを使用してマッピングされます。
`response_code`	`network.dns.response_code`	CEF 形式のログの場合、`response_code` が存在する場合は、`dns_response_code.include` ルックアップテーブルを使用して `network.dns.response_code` にマッピングされます。
`security_action`	`security_result.action`	`status` フィールドから派生します。`status` が「denied」の場合、`security_action` は「BLOCK」に設定されます。それ以外の場合は、「ALLOW」に設定されます。
`severity`	`security_result.severity`	CEF 形式のログで、`severity` が存在し、その内容が「informational」の場合は、「INFORMATIONAL」として `security_result.severity` にマッピングされます。
`src_host`	`principal.hostname`	Grok パターンを使用して未加工のログの `description` フィールドまたは `message` フィールドから抽出され、`principal.hostname` にマッピングされます。
`src_ip`	`principal.ip` または `principal.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `principal.ip` にマッピングされ、それ以外の場合は `principal.hostname` にマッピングされます。
`src_port`	`principal.port`	Grok パターンを使用して未加工のログの `message` フィールドから抽出され、`principal.port` にマッピングされます。
`ttl1`	`answers.ttl`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`ttl2`	`answers.ttl`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`metadata.event_type`	`metadata.event_type`	さまざまなフィールドとパーサーロジックから派生します。他のイベントタイプが特定されない場合、デフォルトは `GENERIC_EVENT` です。の可能な値は、`NETWORK_DNS`、`NETWORK_CONNECTION`、`STATUS_UPDATE` などです。
`metadata.log_type`	`metadata.log_type`	パーサーによって「INFOBLOX_DNS」に設定されます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「Infoblox DNS」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「INFOBLOX」に設定されます。
`metadata.product_version`	`metadata.product_version`	CEF メッセージから抽出されます。
`metadata.event_timestamp`	`metadata.event_timestamp`	`timestamp` フィールドからコピーされます。
`network.application_protocol`	`network.application_protocol`	`event_type` が「GENERIC_EVENT」または「STATUS_UPDATE」でない場合、「DNS」に設定します。

変更

2023-10-17

未解析ログを処理するための Grok パターンを追加しました。

2023-06-19

「hostname」、「ip」、「port」を抽出する Grok パターンを記述し、それに応じて「event_type」を変更しました。

2022-02-09

「hostname」を抽出する Grok を記述し、それに応じて「event_type」を変更しました。
「src_host」を「principal.hostname」にマッピングしました。
適切な「event_type」をマッピングしました。

2023-01-19

新しい Syslog をサポートする Grok パターンを追加しました。
次のマッピングを追加しました。
ログに TCP や UDP などの IP プロトコルが含まれている場合、値は「network.ip_protocol」にマッピングされます。
ログに中間 IP アドレスまたはホスト名が含まれている場合、値は「intermediary.ip/intermediary.hostname」にマッピングされます。

2022-09-09

フィールド「syslog_timestamp」を変更し、「metadata.event_timestamp」に適切にマッピングしました。

2022-08-25

フィールド「syslog_timestamp」を「metadata.event_timestamp」にマッピングしました。
「principal.mac」にマッピングされたフィールド「smac」の grok と条件チェックを追加しました。
「network.dns.questions」にマッピングされたフィールド「dns_domain」の条件付きチェックを追加しました。
「network.dns.answers.name」にマッピングされたフィールド「name1」の条件付きチェックを追加しました。
「network.dns.answers.ttl」にマッピングされたフィールド「ttl1」の条件付きチェックを追加しました。

2022-07-15

バグ修正 - network.dns.questions.name、network.dns.answers.name、network.dns.answers.data につき、最後の文字がピリオドの場合にそのピリオドを削除しました

2022-06-02

バグ修正 - IP が syslog ログから正しく抽出されていなかったため、正しく抽出するように grok を変更しました。
機能拡張 - CEF 形式のログのサポートを追加しました。
次の新しいフィールドをマッピングしました。
InfobloxB1OPHIPAddress から principal.ip
InfobloxDNSQType から dns.questions.type
destinationDnsDomain から dns.questions.name
InfobloxB1Region から principal.location.country_or_region

2022-04-28

「network.dns.questions.name」フィールドから余分な単語「query:」を削除しました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。