Raccogli i log di NetApp ONTAP

Supportato in:

Questo documento descrive come raccogliere i log di NetApp ONTAP tramite Syslog. Il parser estrae i campi dai messaggi syslog utilizzando espressioni regolari. Quindi mappa i campi estratti ai campi UDM (Unified Data Model) corrispondenti, convertendo in modo efficace i dati dei log non elaborati in un formato strutturato per l'analisi della sicurezza.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso amministrativo al cluster NetApp ONTAP.
  • Assicurati che ONTAP possa comunicare con il server Syslog (Bindplane).

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane Agent.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Configurare l'agente BindPlane per importare i dati Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: netapp_ontap
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia Bindplane Agent per applicare le modifiche

  • In Linux, per riavviare Bindplane Agent, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare una destinazione Syslog in ONTAP

  1. Accedi al cluster ONTAP utilizzando SSH e sostituisci <ontap-cluster-ip> con l'indirizzo IP di gestione del cluster ONTAP:

    ssh admin@<ontap-cluster-ip>

  2. Controlla i filtri e le notifiche esistenti per gli eventi:

    event filter show
event notification show

  3. Crea una destinazione Syslog, sostituisci <syslog-server-ip> e <syslog-server-port> con i dettagli del server Syslog (Bindplane):

    event notification destination create -name syslog-ems -syslog <syslog-server-ip> -syslog-port <syslog-server-port> -syslog-transport udp-unencrypted

  4. Altre opzioni per -syslog-transport:

    • udp-unencrypted (predefinito)
    • tcp-unencrypted
    • tcp-encrypted (per TLS).

  5. Verifica la destinazione syslog:

    event notification destination show

Configurare i filtri evento esistenti

  • Collega i filtri predefiniti alla destinazione Syslog:

    event notification create -filter-name no-info-debug-events -destinations syslog-ems
event notification create -filter-name default-trap-events -destinations syslog-ems

(Facoltativo) Crea e configura i filtri personalizzati

  1. Filtro eventi di autenticazione (Accessi/Uscite): acquisisce i log la cui descrizione corrisponde a "Accesso" o "Uscita":

    event filter create -filter-name auth_events
event filter rule add -filter-name auth_events -type include -message-name *login* -severity info
event filter rule add -filter-name auth_events -type include -message-name *logout* -severity info

  2. Filtro dei campi di rilevamento della sicurezza: acquisisce i log relativi a nmsdk_language, nmsdk_platform, nmsdk_version e netapp_version:

    event filter create -filter-name security_fields
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_language* -severity info
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_platform* -severity info
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_version* -severity info
event filter rule add -filter-name security_fields -type include -message-name *netapp_version* -severity info

  3. Filtro dei log in base alla gravità: acquisisce i log in cui la gravità è informativa:

    event filter create -filter-name severity_info
event filter rule add -filter-name severity_info -type include -message-name * -severity info

  4. Filtro attività di rete: acquisisce i log con src_ip e src_port:

    event filter create -filter-name network_activity
event filter rule add -filter-name network_activity -type include -message-name *src_ip* -severity info
event filter rule add -filter-name network_activity -type include -message-name *src_port* -severity info

  5. Filtro dei log degli URL target: acquisisce i log con le informazioni sugli URL:

    event filter create -filter-name url_target
event filter rule add -filter-name url_target -type include -message-name *url* -severity info

  6. Applica ogni filtro alla destinazione Syslog:

    event notification create -filter-name auth_events -destinations syslog-ems
event notification create -filter-name security_fields -destinations syslog-ems
event notification create -filter-name severity_info -destinations syslog-ems
event notification create -filter-name network_activity -destinations syslog-ems
event notification create -filter-name url_target -destinations syslog-ems

  7. Verifica notifiche:

    event notification show

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
codice Non mappato
description metadata.description Estratto dal messaggio di log utilizzando un pattern Grok. Presente solo quando la descrizione è "Uscire" o "Accedere".
intermediary_host intermediary.hostname Estratto dal messaggio di log utilizzando un pattern Grok.
nmsdk_language security_result.detection_fields.value Estratto dal messaggio di log utilizzando un pattern Grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_language".
nmsdk_platform security_result.detection_fields.value Estratto dal messaggio di log utilizzando un pattern Grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_platform".
nmsdk_version security_result.detection_fields.value Estratto dal messaggio di log utilizzando un pattern Grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_version".
netapp_version security_result.detection_fields.value Estratto dal messaggio di log utilizzando un pattern Grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "netapp_version".
product_event_type metadata.product_event_type Estratto dal messaggio di log utilizzando un pattern Grok.
security_result.summary security_result.summary Estratto dal messaggio di log utilizzando un pattern Grok.
gravità security_result.severity Impostato su "INFORMATIONAL" se la gravità è "info" (non è sensibile alle maiuscole).
src_ip principal.ip Estratto dal messaggio di log utilizzando un pattern Grok.
src_port principal.port Estratto dal messaggio di log utilizzando un pattern Grok.
stato security_result.summary Estratto dal messaggio di log utilizzando un pattern Grok.
ts metadata.event_timestamp.seconds Estratto dal messaggio di log utilizzando un pattern grok e convertito in un timestamp.
url target.url Estratto dal messaggio di log utilizzando un pattern Grok.
utente target.user.userid Estratto dal messaggio di log utilizzando un pattern Grok.
extensions.auth.type Imposta su "AUTHTYPE_UNSPECIFIED" se la descrizione è "Uscire" o "Accedere".
metadata.event_type Imposta su "USER_LOGIN" se la descrizione è "Accesso".
metadata.event_type Imposta su "USER_LOGOUT" se la descrizione è "Uscire".
metadata.event_type Impostato su "SCAN_UNCATEGORIZED" se la descrizione non è "Accesso" o "Uscita".
metadata.log_type Imposta su "NETAPP_ONTAP".
metadata.product_name Imposta su "NETAPP_ONTAP".
metadata.vendor_name Imposta su "NETAPP_ONTAP".
target.platform Impostato su "WINDOWS" se nmsdk_platform contiene "windows" (senza distinzione tra maiuscole e minuscole).

Modifiche

2023-04-03

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.