Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Infoblox

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Infoblox menggunakan forwarder Operasi Keamanan Google.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer INFOBLOX_DNS.

Mengonfigurasi Infoblox

Login ke UI web Infoblox.
Di UI web Infoblox, pilih System > System properties editor > Monitoring.
Centang kotak Log ke server syslog eksternal.
Di bagian Server syslog eksternal, klik tanda plus (+) untuk menambahkan server syslog baru untuk penerusan Google Security Operations.
Di kolom Address, masukkan alamat IP server penerusan Google Security Operations.
Dalam daftar Transport, pilih TCP atau UDP.
Di kolom Port, masukkan nomor port.
Dalam daftar Node ID, pilih LAN untuk menyertakan IP Infoblox dalam header syslog.
Dari daftar Tersedia, pilih hal berikut dan pindahkan ke daftar Dipilih:
- Kueri DNS
- Respons DNS
- Proses DHCP

Server Infoblox meneruskan log kueri dan respons menggunakan syslog ke penerusan Google Security Operations.

Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log Infoblox

Pilih Setelan SIEM > Penerima.
Klik Tambahkan penerusan baru.
Masukkan nama unik di kolom Nama pengirim.
Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
Di kolom Nama kolektor, masukkan nama unik untuk kolektor.
Pilih Infoblox sebagai Jenis log.
Pilih Syslog sebagai Jenis kolektor.
Konfigurasikan parameter input berikut:
- Protokol: tentukan protokol koneksi yang akan digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
Klik Kirim.

Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak log DNS Infoblox dalam format SYSLOG atau CEF, yang menormalisasinya ke dalam UDM. Alat ini menangani berbagai format log menggunakan pola grok, mengekstrak kolom utama seperti IP sumber atau tujuan, detail kueri DNS, dan informasi keamanan, serta memetakan kolom tersebut ke kolom UDM yang sesuai.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`agent.hostname`	`principal.hostname`	Untuk log berformat CEF, jika `agent.hostname` ada, log tersebut akan dipetakan ke `principal.hostname`.
`client_ip`	`principal.ip`	Untuk log berformat CEF, jika `client_ip` ada, log tersebut akan dipetakan ke `principal.ip`.
`client_port`	`principal.port`	Untuk log berformat CEF, jika `client_port` ada, log tersebut akan dipetakan ke `principal.port`.
`data`	`answers.data`	Diekstrak dari kolom `data` di bagian `answers` dalam log mentah. Beberapa kemunculan dipetakan sebagai objek `answers` terpisah.
`description`	`metadata.description`	Dipetakan langsung dari kolom `description` log mentah atau diekstrak menggunakan pola grok dari kolom lain seperti `message` dan `msg2`.
`dest_ip1`	`target.ip`	Diekstrak dari log mentah dan dipetakan ke `target.ip`.
`destinationDnsDomain`	`dns_question.name`	Untuk log berformat CEF, jika `destinationDnsDomain` ada, log tersebut akan dipetakan ke `dns_question.name`.
`dns_class`	`dns_question.class`	Dipetakan menggunakan tabel pencarian `dns_query_class_mapping.include`.
`dns_domain`	`dns_question.name`	Diekstrak dari kolom `message` log mentah menggunakan pola grok dan dipetakan ke `dns_question.name`.
`dns_name`	`dns_question.name`	Diekstrak dari kolom `dns_domain` menggunakan pola grok dan dipetakan ke `dns_question.name`.
`dns_records`	`answers.data`	Untuk log berformat CEF, jika `dns_records` ada, log tersebut akan dipetakan ke `answers.data`. Beberapa kemunculan dipetakan sebagai objek `answers` terpisah.
`dst_ip`	`target.ip` atau `target.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat tersebut akan dipetakan ke `target.ip`; jika tidak, alamat tersebut akan dipetakan ke `target.hostname`.
`dst_ip1`	`target.ip` atau `target.hostname`	Diekstrak dari kolom `message` atau `msg2` log mentah menggunakan pola grok. Jika alamat IP valid, alamat tersebut akan dipetakan ke `target.ip`; jika tidak, alamat tersebut akan dipetakan ke `target.hostname`. Hanya dipetakan jika berbeda dengan `dst_ip`.
`evt_type`	`metadata.product_event_type`	Dipetakan langsung dari kolom `evt_type` log mentah, yang diekstrak dari kolom `message` menggunakan pola grok.
`InfobloxB1OPHIPAddress`	`principal.ip`	Untuk log berformat CEF, jika `InfobloxB1OPHIPAddress` ada, log tersebut akan dipetakan ke `principal.ip`.
`InfobloxB1Region`	`principal.location.country_or_region`	Untuk log berformat CEF, jika `InfobloxB1Region` ada, log tersebut akan dipetakan ke `principal.location.country_or_region`.
`InfobloxDNSQType`	`dns_question.type`	Untuk log berformat CEF, jika `InfobloxDNSQType` ada, log tersebut akan dipetakan ke `dns_question.type`.
`intermediary`	`intermediary.ip` atau `intermediary.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat tersebut akan dipetakan ke `intermediary.ip`; jika tidak, alamat tersebut akan dipetakan ke `intermediary.hostname`.
`msg2`	`metadata.description`, `dns.response_code`, `dns_question.name`, `target.ip`, `target.hostname`, `answers.name`, `answers.ttl`, `answers.data`, `answers.class`, `answers.type`, `security_result.severity`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Digunakan untuk mengekstrak berbagai kolom, tetapi tidak dipetakan langsung ke UDM.
`name1`	`answers.name`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.name`.
`name2`	`answers.name`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.name`.
`protocol`	`network.ip_protocol`	Dipetakan langsung dari kolom `protocol` log mentah jika cocok dengan protokol yang diketahui.
`qclass`	`dns_question.class`	Kolom perantara yang digunakan untuk memetakan `dns_class` ke UDM.
`qclass1`	`answers.class`	Kolom perantara yang digunakan untuk memetakan `dns_class1` ke UDM.
`qclass2`	`answers.class`	Kolom perantara yang digunakan untuk memetakan `dns_class2` ke UDM.
`query_type`	`dns_question.type`	Dipetakan menggunakan tabel pencarian `dns_record_type.include`.
`query_type1`	`answers.type`	Dipetakan menggunakan tabel pencarian `dns_record_type.include`.
`query_type2`	`answers.type`	Dipetakan menggunakan tabel pencarian `dns_record_type.include`.
`recursion_flag`	`network.dns.recursion_desired`	Jika `recursion_flag` berisi "+", `recursion_flag` akan dipetakan ke `network.dns.recursion_desired` sebagai benar.
`record_type`	`dns_question.type`	Kolom perantara yang digunakan untuk memetakan `query_type` ke UDM.
`record_type1`	`answers.type`	Kolom perantara yang digunakan untuk memetakan `query_type1` ke UDM.
`record_type2`	`answers.type`	Kolom perantara yang digunakan untuk memetakan `query_type2` ke UDM.
`res_code`	`network.dns.response_code`	Dipetakan menggunakan tabel pencarian `dns_response_code.include`.
`response_code`	`network.dns.response_code`	Untuk log berformat CEF, jika `response_code` ada, `response_code` akan dipetakan ke `network.dns.response_code` menggunakan tabel pencarian `dns_response_code.include`.
`security_action`	`security_result.action`	Berasal dari kolom `status`. Jika `status` "ditolak", `security_action` ditetapkan ke "BLOCK"; jika tidak, ditetapkan ke "ALLOW".
`severity`	`security_result.severity`	Untuk log berformat CEF, jika `severity` ada dan "informatif", `severity` akan dipetakan ke `security_result.severity` sebagai "INFORMATIONAL".
`src_host`	`principal.hostname`	Diekstrak dari kolom `description` atau `message` log mentah menggunakan pola grok dan dipetakan ke `principal.hostname`.
`src_ip`	`principal.ip` atau `principal.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat tersebut akan dipetakan ke `principal.ip`; jika tidak, alamat tersebut akan dipetakan ke `principal.hostname`.
`src_port`	`principal.port`	Diekstrak dari kolom `message` log mentah menggunakan pola grok dan dipetakan ke `principal.port`.
`ttl1`	`answers.ttl`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.ttl`.
`ttl2`	`answers.ttl`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.ttl`.
`metadata.event_type`	`metadata.event_type`	Berasal dari berbagai kolom dan logika parser. Secara default ke `GENERIC_EVENT` jika tidak ada jenis peristiwa lain yang diidentifikasi. Nilai yang mungkin mencakup `NETWORK_DNS`, `NETWORK_CONNECTION`, dan `STATUS_UPDATE`.
`metadata.log_type`	`metadata.log_type`	Ditetapkan ke "INFOBLOX_DNS" oleh parser.
`metadata.product_name`	`metadata.product_name`	Ditetapkan ke "Infoblox DNS" oleh parser.
`metadata.vendor_name`	`metadata.vendor_name`	Ditetapkan ke "INFOBLOX" oleh parser.
`metadata.product_version`	`metadata.product_version`	Diekstrak dari pesan CEF.
`metadata.event_timestamp`	`metadata.event_timestamp`	Disalin dari kolom `timestamp`.
`network.application_protocol`	`network.application_protocol`	Tetapkan ke "DNS" jika `event_type` bukan "GENERIC_EVENT" atau "STATUS_UPDATE".

Perubahan

2023-10-17

Menambahkan pola Grok untuk menangani log yang tidak diuraikan.

2023-06-19

Menulis pola Grok untuk mengekstrak 'hostname','ip', dan 'port' serta mengubah 'event_type'.

2022-02-09

Menulis Grok untuk mengekstrak 'hostname' dan mengubah 'event_type'.
Memetakan 'src_host' ke 'principal.hostname'.
Memetakan 'event_type' yang sesuai.

2023-01-19

Menambahkan pola Grok untuk mendukung Syslog baru.
Menambahkan pemetaan untuk hal berikut:
Jika log berisi protokol IP, seperti TCP atau UDP, nilai akan dipetakan ke "network.ip_protocol".
Jika log berisi alamat IP atau nama host perantara, nilai akan dipetakan ke "intermediary.ip/intermediary.hostname".

2022-09-09

Mengubah dan memetakan kolom 'syslog_timestamp' dengan benar ke 'metadata.event_timestamp'.

2022-08-25

Memetakan kolom 'syslog_timestamp' ke 'metadata.event_timestamp'.
Menambahkan pemeriksaan grok dan kondisional untuk kolom 'smac' yang dipetakan ke 'principal.mac'.
Menambahkan pemeriksaan bersyarat untuk kolom 'dns_domain' yang dipetakan ke 'network.dns.questions'.
Menambahkan pemeriksaan bersyarat untuk kolom 'name1' yang dipetakan ke 'network.dns.answers.name'.
Menambahkan pemeriksaan kondisional untuk kolom 'ttl1' yang dipetakan ke 'network.dns.answers.ttl'.

2022-07-15

Perbaikan bug - Menghapus karakter terakhir jika berupa titik dari network.dns.questions.name, network.dns.answers.name, network.dns.answers.data

2022-06-02

Perbaikan bug - IP tidak diekstrak dengan benar dari log syslog sehingga mengubah grok untuk mengekstraknya dengan benar.
Peningkatan - Memberikan dukungan untuk log format CEF.
Memetakan kolom baru berikut:-
InfobloxB1OPHIPAddress ke principal.ip
InfobloxDNSQType ke dns.questions.type
destinationDnsDomain ke dns.questions.name
InfobloxB1Region ke principal.location.country_or_region

2022-04-28

Menghapus kata tambahan "query:" dari kolom "network.dns.questions.name".