Esta página foi traduzida pela API Cloud Translation.

Recolha dados de syslog do macOS da Apple

Compatível com:

Google secops SIEM

Este analisador usa padrões grok para extrair campos de mensagens syslog do macOS da Apple e preenche o modelo de dados unificado (UDM) com os valores extraídos, incluindo a data/hora, o nome do anfitrião, o anfitrião intermediário, a linha de comandos, o ID do processo e a descrição. O analisador categoriza o evento como STATUS_UPDATE se estiver presente um nome de anfitrião; caso contrário, atribui a categoria GENERIC_EVENT ao evento. Por último, o analisador sintático enriquece o evento da UDM com informações do fornecedor e do produto.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que tem acesso de raiz ao anfitrião do Auditd.
Certifique-se de que instalou o rsyslog no anfitrião do Auditd.
Certifique-se de que tem um anfitrião Windows 2012 SP2 ou posterior, ou Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agente de recolha.
Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda à máquina onde o agente Bindplane está instalado.

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the below port <54525> and IP <0.0.0.0> with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações através do seguinte comando: sudo systemctl bindplane restart

Exportar Syslog do macOS

Instale o syslog-ng através do Homebrew:
```
brew install syslog-ng
```
Configure o syslog-ng:
- Edite o ficheiro syslog-ng.conf (normalmente localizado em /usr/local/etc/syslog-ng/syslog-ng.conf):
```
sudo vi /usr/local/etc/syslog-ng/syslog-ng.conf
```
- Adicione o seguinte bloco de configuração.
  - Consoante a configuração do Bindplane, pode alterar o método de entrega para tcp ou deixá-lo como udp.
  - Substitua <BindPlaneAgent_IP> e <BindPlaneAgent_Port> pelo endereço IP e pela porta reais do seu agente do Bindplane:
```
source s_local { system(); internal(); };
destination d_secops { tcp("<BindPlaneAgent_IP>:<BindPlaneAgent_Port>"); };
log { source(s_local); destination(d_secops); };
```
Reinicie o serviço syslog-ng:
```
brew services restart syslog-ng
```
Verifique o estado de syslog-ng (deve ver syslog-ng apresentado como iniciado):
```
brew services list
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
dados	read_only_udm.metadata.description	O valor do campo `description` é extraído do campo `data` no registo não processado através de um padrão grok.
dados	read_only_udm.principal.hostname	O nome de anfitrião é extraído do campo `data` através de um padrão grok.
dados	read_only_udm.intermediary.hostname	O nome de anfitrião intermediário é extraído do campo `data` através de um padrão grok.
dados	read_only_udm.principal.process.command_line	A linha de comandos do processo é extraída do campo `data` através de um padrão grok.
dados	read_only_udm.principal.process.pid	O ID do processo é extraído do campo `data` através de um padrão grok.
dados	read_only_udm.metadata.event_timestamp	A data/hora do evento é extraída do campo `data` através de um padrão grok e convertida num objeto de data/hora. Codificado como "MacOS" no analisador. Codificado como "Apple" no analisador. Definido como "STATUS_UPDATE" se for extraído um nome de anfitrião dos registos. Caso contrário, é definido como "GENERIC_EVENT".
log_type	read_only_udm.metadata.log_type	Mapeado diretamente a partir do campo `log_type` do registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.