Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i dati syslog di Apple macOS

Supportato in:

Google secops SIEM

Questo parser utilizza i pattern grok per estrarre i campi dai messaggi syslog di Apple macOS e compila il modello di dati unificato (UDM) con i valori estratti, inclusi timestamp, nome host, host intermedio, riga di comando, ID processo e descrizione. Il parser classifica l'evento come STATUS_UPDATE se è presente un nome host; in caso contrario, assegna all'evento la categoria GENERIC_EVENT. Infine, il parser arricchisce l'evento UDM con informazioni sul fornitore e sul prodotto.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di avere accesso root all'host Auditd.
Assicurati di aver installato rsyslog sull'host Auditd.
Assicurati di avere un host Windows 2012 SP2 o versioni successive o Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Per l'installazione di Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi alla macchina in cui è installato l'agente Bindplane.

Modifica il file config.yaml come segue:

receivers:
  tcplog:
    # Replace the below port <54525> and IP <0.0.0.0> with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia Bindplane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Esportare Syslog da macOS

Installa syslog-ng utilizzando Homebrew:
```
brew install syslog-ng
```
Configura syslog-ng:
- Modifica il file syslog-ng.conf (di solito si trova in /usr/local/etc/syslog-ng/syslog-ng.conf):
```
sudo vi /usr/local/etc/syslog-ng/syslog-ng.conf
```
- Aggiungi il seguente blocco di configurazione.
  - A seconda della configurazione di Bindplane, puoi modificare il metodo di distribuzione in tcp o lasciarlo come udp.
  - Sostituisci <BindPlaneAgent_IP> e <BindPlaneAgent_Port> con l'indirizzo IP e la porta effettivi dell'agente Bindplane:
```
source s_local { system(); internal(); };
destination d_secops { tcp("<BindPlaneAgent_IP>:<BindPlaneAgent_Port>"); };
log { source(s_local); destination(d_secops); };
```
Riavvia il servizio syslog-ng:
```
brew services restart syslog-ng
```
Controlla lo stato di syslog-ng (dovresti visualizzare syslog-ng come avviato):
```
brew services list
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
dati	read_only_udm.metadata.description	Il valore del campo `description` viene estratto dal campo `data` nel log non elaborato utilizzando un pattern grok.
dati	read_only_udm.principal.hostname	Il nome host viene estratto dal campo `data` utilizzando un pattern grok.
dati	read_only_udm.intermediary.hostname	Il nome host dell'intermediario viene estratto dal campo `data` utilizzando un pattern grok.
dati	read_only_udm.principal.process.command_line	La riga di comando del processo viene estratta dal campo `data` utilizzando un pattern grok.
dati	read_only_udm.principal.process.pid	L'ID processo viene estratto dal campo `data` utilizzando un pattern grok.
dati	read_only_udm.metadata.event_timestamp	Il timestamp dell'evento viene estratto dal campo `data` utilizzando un pattern grok e convertito in un oggetto timestamp. Hardcoded su "MacOS" nel parser. Codificato come "Apple" nel parser. Impostato su "STATUS_UPDATE" se un nome host viene estratto dai log, altrimenti impostato su "GENERIC_EVENT".
log_type	read_only_udm.metadata.log_type	Mappato direttamente dal campo `log_type` del log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.