Infoblox-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Infoblox-Protokolle mithilfe eines Google Security Operations-Weiterleiters erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel INFOBLOX_DNS.

Infoblox konfigurieren

  1. Melden Sie sich in der Infoblox-Web-UI an.
  2. Wählen Sie in der Infoblox-Web-Benutzeroberfläche System > Systemeigenschaften-Editor > Monitoring aus.
  3. Aktivieren Sie das Kästchen In externen syslog-Servern protokollieren.
  4. Klicken Sie im Bereich Externe syslog-Server auf das Pluszeichen (+), um einen neuen syslog-Server für den Google Security Operations-Weiterleiter hinzuzufügen.
  5. Geben Sie im Feld Address (Adresse) die IP-Adresse des Google Security Operations-Weiterleitungsservers ein.
  6. Wählen Sie in der Liste Transport entweder TCP oder UDP aus.
  7. Geben Sie im Feld Port die Portnummer ein.
  8. Wählen Sie in der Liste Knoten-ID die Option LAN aus, um die Infoblox-IP-Adresse in den syslog-Header aufzunehmen.
  9. Wählen Sie in der Liste Verfügbar die folgenden Elemente aus und verschieben Sie sie in die Liste Ausgewählt:
    • DNS-Abfragen
    • DNS-Antworten
    • DHCP-Prozess

Der Infoblox-Server leitet die Abfrage- und Antwortprotokolle über syslog an den Google Security Operations-Weiterleiter weiter.

Google Security Operations-Weiterleitung und syslog für die Aufnahme von Infoblox-Logs konfigurieren

  1. Wählen Sie SIEM-Einstellungen > Weiterleitungen aus.
  2. Klicken Sie auf Neuen Weiterleiter hinzufügen.
  3. Geben Sie im Feld Name des Weiterleiters einen eindeutigen Namen ein.
  4. Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  6. Wählen Sie Infoblox als Logtyp aus.
  7. Wählen Sie Syslog als Typ des Collectors aus.
  8. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem der Collector für syslog-Daten lauscht.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser extrahiert Infoblox-DNS-Protokolle entweder im SYSLOG- oder CEF-Format und normalisiert sie in UDM. Er verarbeitet verschiedene Protokollformate mit Grok-Mustern, extrahiert wichtige Felder wie Quell- oder Ziel-IP, DNS-Abfragedetails und Sicherheitsinformationen und ordnet sie den entsprechenden UDM-Feldern zu.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
agent.hostname principal.hostname Bei CEF-formatierten Protokollen wird agent.hostname, falls vorhanden, auf principal.hostname zugeordnet.
client_ip principal.ip Bei CEF-formatierten Protokollen wird client_ip, falls vorhanden, auf principal.ip zugeordnet.
client_port principal.port Bei CEF-formatierten Protokollen wird client_port, falls vorhanden, auf principal.port zugeordnet.
data answers.data Wird aus dem Feld data des Abschnitts answers im Rohprotokoll extrahiert. Mehrere Vorkommen werden als separate answers-Objekte zugeordnet.
description metadata.description Werden direkt aus dem Feld description des Rohlogs zugeordnet oder mit Grok-Mustern aus anderen Feldern wie message und msg2 extrahiert.
dest_ip1 target.ip Aus dem Rohprotokoll extrahiert und target.ip zugeordnet.
destinationDnsDomain dns_question.name Bei CEF-formatierten Protokollen wird destinationDnsDomain, falls vorhanden, auf dns_question.name zugeordnet.
dns_class dns_question.class Zuordnung mithilfe der dns_query_class_mapping.include-Suchtabelle.
dns_domain dns_question.name Wird mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert und dns_question.name zugeordnet.
dns_name dns_question.name Mithilfe von Grok-Mustern aus dem Feld dns_domain extrahiert und dns_question.name zugeordnet.
dns_records answers.data Bei CEF-formatierten Protokollen wird dns_records, falls vorhanden, auf answers.data zugeordnet. Mehrere Vorkommen werden als separate answers-Objekte zugeordnet.
dst_ip target.ip oder target.hostname Mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie target.ip zugeordnet. Andernfalls wird sie target.hostname zugeordnet.
dst_ip1 target.ip oder target.hostname Mithilfe von Grok-Mustern aus dem Feld message oder msg2 des Rohlogs extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie target.ip zugeordnet. Andernfalls wird sie target.hostname zugeordnet. Wird nur zugeordnet, wenn er sich von dst_ip unterscheidet.
evt_type metadata.product_event_type Wird direkt aus dem Feld evt_type des Rohlogs zugeordnet, das mithilfe von Grok-Mustern aus dem Feld message extrahiert wird.
InfobloxB1OPHIPAddress principal.ip Bei CEF-formatierten Protokollen wird InfobloxB1OPHIPAddress, falls vorhanden, auf principal.ip zugeordnet.
InfobloxB1Region principal.location.country_or_region Bei CEF-formatierten Protokollen wird InfobloxB1Region, falls vorhanden, auf principal.location.country_or_region zugeordnet.
InfobloxDNSQType dns_question.type Bei CEF-formatierten Protokollen wird InfobloxDNSQType, falls vorhanden, auf dns_question.type zugeordnet.
intermediary intermediary.ip oder intermediary.hostname Mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie intermediary.ip zugeordnet. Andernfalls wird sie intermediary.hostname zugeordnet.
msg2 metadata.description, dns.response_code, dns_question.name, target.ip, target.hostname, answers.name, answers.ttl, answers.data, answers.class, answers.type, security_result.severity Mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert. Wird zum Extrahieren verschiedener Felder verwendet, aber nicht direkt dem UDM zugeordnet.
name1 answers.name Wird mithilfe von Grok-Mustern aus dem Feld msg2 des Rohlogs extrahiert und answers.name zugeordnet.
name2 answers.name Wird mithilfe von Grok-Mustern aus dem Feld msg2 des Rohlogs extrahiert und answers.name zugeordnet.
protocol network.ip_protocol Wird direkt aus dem Feld protocol des Rohlogs zugeordnet, wenn es mit bekannten Protokollen übereinstimmt.
qclass dns_question.class Zwischenfeld, das zum Zuordnen von dns_class zu UDM verwendet wird.
qclass1 answers.class Zwischenfeld, das zum Zuordnen von dns_class1 zu UDM verwendet wird.
qclass2 answers.class Zwischenfeld, das zum Zuordnen von dns_class2 zu UDM verwendet wird.
query_type dns_question.type Zuordnung mithilfe der dns_record_type.include-Suchtabelle.
query_type1 answers.type Zuordnung mithilfe der dns_record_type.include-Suchtabelle.
query_type2 answers.type Zuordnung mithilfe der dns_record_type.include-Suchtabelle.
recursion_flag network.dns.recursion_desired Wenn recursion_flag ein „+“ enthält, wird ihm network.dns.recursion_desired als „wahr“ zugeordnet.
record_type dns_question.type Zwischenfeld, das zum Zuordnen von query_type zu UDM verwendet wird.
record_type1 answers.type Zwischenfeld, das zum Zuordnen von query_type1 zu UDM verwendet wird.
record_type2 answers.type Zwischenfeld, das zum Zuordnen von query_type2 zu UDM verwendet wird.
res_code network.dns.response_code Zuordnung mithilfe der dns_response_code.include-Suchtabelle.
response_code network.dns.response_code Bei CEF-formatierten Protokollen wird response_code, sofern vorhanden, mithilfe der dns_response_code.include-Suchtabelle auf network.dns.response_code zugeordnet.
security_action security_result.action Abgeleitet aus dem Feld status. Wenn status „denied“ ist, wird security_action auf „BLOCK“ gesetzt. Andernfalls wird es auf „ALLOW“ gesetzt.
severity security_result.severity Wenn severity in CEF-formatierten Protokollen vorhanden ist und als „Informationen“ gekennzeichnet ist, wird es security_result.severity als „INFORMATIONEN“ zugeordnet.
src_host principal.hostname Mithilfe von Grok-Mustern aus dem Feld description oder message des Rohlogs extrahiert und auf principal.hostname zugeordnet.
src_ip principal.ip oder principal.hostname Mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie principal.ip zugeordnet. Andernfalls wird sie principal.hostname zugeordnet.
src_port principal.port Wird mithilfe von Grok-Mustern aus dem Feld message des Rohlogs extrahiert und principal.port zugeordnet.
ttl1 answers.ttl Wird mithilfe von Grok-Mustern aus dem Feld msg2 des Rohlogs extrahiert und answers.ttl zugeordnet.
ttl2 answers.ttl Wird mithilfe von Grok-Mustern aus dem Feld msg2 des Rohlogs extrahiert und answers.ttl zugeordnet.
metadata.event_type metadata.event_type Abgeleitet aus verschiedenen Feldern und Parserlogik. Wenn kein anderer Ereignistyp angegeben ist, wird standardmäßig GENERIC_EVENT verwendet. Mögliche Werte sind NETWORK_DNS, NETWORK_CONNECTION und STATUS_UPDATE.
metadata.log_type metadata.log_type Wird vom Parser auf „INFOBLOX_DNS“ gesetzt.
metadata.product_name metadata.product_name Wird vom Parser auf „Infoblox DNS“ festgelegt.
metadata.vendor_name metadata.vendor_name Wird vom Parser auf „INFOBLOX“ festgelegt.
metadata.product_version metadata.product_version Aus CEF-Nachrichten extrahiert.
metadata.event_timestamp metadata.event_timestamp Aus dem Feld timestamp kopiert
network.application_protocol network.application_protocol Legen Sie „DNS“ fest, wenn event_type nicht „GENERIC_EVENT“ oder „STATUS_UPDATE“ ist.

Änderungen

2023-10-17

  • Es wurde ein Grok-Muster hinzugefügt, um nicht geparste Protokolle zu verarbeiten.

2023-06-19

  • Ich habe ein Grok-Muster geschrieben, um „hostname“, „ip“ und „port“ zu extrahieren, und „event_type“ entsprechend geändert.

2022-02-09

  • Ich habe einen Grok-Filter geschrieben, um „hostname“ zu extrahieren, und „event_type“ entsprechend geändert.
  • „src_host“ wurde „principal.hostname“ zugeordnet.
  • „event_type“ wurde korrekt zugeordnet.

2023-01-19

  • Grok-Muster zur Unterstützung des neuen Syslogs hinzugefügt.
  • Zuordnung für Folgendes hinzugefügt:
  • Wenn das Protokoll ein IP-Protokoll wie TCP oder UDP enthält, wird der Wert „network.ip_protocol“ zugeordnet.
  • Wenn das Protokoll eine Zwischen-IP-Adresse oder einen Zwischen-Hostnamen enthält, wird der Wert „intermediary.ip/intermediary.hostname“ zugeordnet.

2022-09-09

  • Das Feld „syslog_timestamp“ wurde geändert und richtig auf „metadata.event_timestamp“ zugeordnet.

2022-08-25

  • Das Feld „syslog_timestamp“ wurde „metadata.event_timestamp“ zugeordnet.
  • Grok- und bedingte Prüfungen für das Feld „smac“, das auf „principal.mac“ zugeordnet ist, wurden hinzugefügt.
  • Bedingte Prüfungen für das Feld „dns_domain“, das auf „network.dns.questions“ zugeordnet ist, hinzugefügt.
  • Bedingte Prüfungen für das Feld „name1“, das mit „network.dns.answers.name“ verknüpft ist, hinzugefügt.
  • Bedingte Prüfungen für das Feld „ttl1“, das „network.dns.answers.ttl“ zugeordnet ist, wurden hinzugefügt.

2022-07-15

  • Fehlerkorrektur: Das letzte Zeichen wurde aus den Feldern „network.dns.questions.name“, „network.dns.answers.name“ und „network.dns.answers.data“ entfernt, wenn es sich um einen Punkt handelt.

2022-06-02

  • Fehlerbehebung: Die IP-Adresse wurde nicht richtig aus dem syslog-Protokoll extrahiert. Daher wurde der Grok-Filter so geändert, dass die IP-Adresse richtig extrahiert wird.
  • Verbesserung: Unterstützung für CEF-Format-Protokolle
  • Die folgenden neuen Felder wurden zugeordnet:
  • InfobloxB1OPHIPAddress zu principal.ip
  • InfobloxDNSQType zu dns.questions.type
  • destinationDnsDomain zu dns.questions.name
  • InfobloxB1Region zu principal.location.country_or_region

2022-04-28

  • Das zusätzliche Wort „query:“ wurde aus dem Feld „network.dns.questions.name“ entfernt.