このページは Cloud Translation API によって翻訳されました。

Nutanix Prism のログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、Nutanix Prism ログを処理し、JSON 形式と syslog 形式の両方を処理します。さまざまなログ構造からフィールドを抽出し、UDM に正規化して、ユーザー情報、ネットワークの詳細、セキュリティの重大度などの追加コンテキストでデータを拡充します。パーサーは、HTTP メソッドとログレベルに基づいて特定のアクションも実行し、イベントを USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT などの UDM イベントタイプに分類します。

始める前に

Google SecOps インスタンスがあることを確認します。
Nutanix Prism Central への特権アクセス権があることを確認します。
Windows 2012 SP2 以降または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM Settings] > [Collection Agents] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
Linux へのインストールの場合は、次のスクリプトを実行します。sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane エージェントがインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Namespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して Bindplane Agent を再起動して、変更を適用します。 sudo systemctl bindplane restart

Nutanix Prism から Syslog をエクスポートする

特権アカウントを使用して Prism Central にログインします。
メニューから [Prism Central Settings] を選択します。
[Syslog Server] に移動します。
[+ Syslog サーバーを構成] をクリックします。
[Syslog Servers] ダイアログで、入力パラメータの値を指定します。
- サーバー名: サーバーの名前を入力します（例: Google SecOps Bindplane Server）。
- IP アドレス: Bindplane Agent の IP を入力します。
- ポート: Bindplane エージェントがリッスンしているポートを入力します。
- トランスポートプロトコル: [TCP] を選択します。
- [構成] をクリックします。
[データソース] オプションの [+ 編集] をクリックします。
[データソースとそれぞれの重大度レベル] ダイアログで、入力パラメータの値を指定します。
- [API 監査]、[監査]、[フロー] を選択します。
- それぞれ重大度レベルを [6 - Informational] に設定します。
- [保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`@timestamp`	`metadata.event_timestamp`	イベントのタイムスタンプは `@timestamp` フィールドから解析されます。`yyyy-MM-dd HH:mm:ss.SSS`、`yyyy-MM-ddTHH:mm:ssZ`、`ISO8601` の形式がサポートされています。
`agent.id`	`observer.asset_id`	`agent.type` と組み合わせて、オブザーバーアセット ID を「agent.type:agent.id」形式で作成します。
`agent.type`	`observer.application`	モニタリングに使用されるアプリケーション。
`agent.version`	`observer.platform_version`	オブザーバーアプリケーションのバージョン。
`alertUid`	`security_result.detection_fields.value`	アラート UID の値は、`detection_fields` 内の `value` フィールドにマッピングされます。`key` は「アラート UID」に設定されます。
`api_version`	`metadata.product_version`	API バージョン
`clientIp`	`principal.ip`、`principal.asset.ip`	クライアントの IP アドレス。
`client_type`	`principal.labels.value`	クライアントタイプの値。`key` は「client_type」に設定されます。
`defaultMsg`	`metadata.description`	デフォルトのメッセージ。
`entity_uuid`	`metadata.product_log_id`	エンティティ UUID。
`http_method`	`network.http.method`	HTTP メソッド。大文字に変換されました。
`host.architecture`	`principal.asset.hardware.cpu_platform`	ホストのアーキテクチャ。
`host.id`	`principal.asset_id`	「NUTANIX:」の接頭辞が付いて、プリンシパルアセット ID が作成されます。
`host.ip`	`principal.ip`、`principal.asset.ip`	ホストの IP アドレス。
`host.mac`	`principal.mac`	ホストの MAC アドレス。
`host.os.kernel`	`principal.platform_patch_level`	ホストオペレーティングシステムのカーネルバージョン。
`host.os.platform`	`principal.platform`	ホストオペレーティングシステムのプラットフォーム。`LINUX`、`WINDOWS`、`MAC`、または `UNKNOWN_PLATFORM` にマッピングされます。
`host.os.version`	`principal.platform_version`	ホストオペレーティングシステムのバージョン。
`input.type`	`network.ip_protocol`	ネットワークプロトコル。「UDP」または「TCP」にマッピングされます。
`log.source.address`	`principal.ip`、`principal.asset.ip`、`principal.port`	解析して送信元 IP とポートを抽出します。
`logstash.collect.host`	`observer.ip`	Logstash コレクタの IP アドレス。
`logstash.collect.timestamp`	`metadata.collected_timestamp`	ログが収集されたときのタイムスタンプ。
`logstash.ingest.host`	`intermediary.hostname`	logstash 取り込みサーバーのホスト名。
`logstash.ingest.timestamp`	`metadata.ingested_timestamp`	ログが取り込まれたときのタイムスタンプ。
`logstash.irm_environment`	`principal.labels.value`	irm 環境の値。`key` は「irm_environment」に設定されます。
`logstash.irm_region`	`principal.labels.value`	irm リージョンの値。`key` は「irm_region」に設定されます。
`logstash.irm_site`	`principal.labels.value`	irm サイトの値。`key` は「irm_site」に設定されます。
`logstash.process.host`	`intermediary.hostname`	logstash 処理サーバーのホスト名。
`operationType`	`metadata.product_event_type`	オペレーションのタイプ。
`originatingClusterUuid`	`additional.fields.value.string_value`	元のクラスタの UUID。`key` は「Originating Cluster Uuid」に設定されます。
`params.mac_address`	`target.mac`	パラメータの MAC アドレス。
`params.requested_ip_address`	`target.ip`、`target.asset.ip`	パラメータからリクエストされた IP アドレス。
`params.vm_name`	`target.resource.name`	パラメータの VM 名。
`program`	`metadata.product_event_type`	プログラムの名前。
`rest_endpoint`	`target.url`	REST エンドポイント。
`sessionId`	`additional.fields.value.string_value`	セッション ID。`key` は「セッション ID」に設定されます。
`syslog_host`	`principal.hostname`、`principal.asset.hostname`	Syslog ホスト。
`timestamp`	`metadata.event_timestamp`	イベントのタイムスタンプ。
`username`	`principal.user.user_display_name` または `principal.user.userid`	ユーザー名。`http_method` が「POST」の場合、ユーザー ID として使用されます。
`uuid`	`metadata.product_log_id`	UUID。
なし	`metadata.vendor_name`	「Nutanix_Prism」にハードコードされています。
なし	`metadata.product_name`	「Nutanix_Prism」にハードコードされています。
なし	`metadata.event_type`	`has_principal`、`has_target`、`audit_log`、`network_set`、`http_method` の値に基づいて、パーサーのロジックによって決定されます。`GENERIC_EVENT`、`USER_LOGIN`、`STATUS_UPDATE`、`USER_RESOURCE_ACCESS`、`RESOURCE_CREATION`、`USER_RESOURCE_UPDATE_CONTENT`、または `USER_RESOURCE_DELETION` のいずれかです。
なし	`metadata.log_type`	「NUTANIX_PRISM」にハードコードされています。
なし	`extensions.auth.type`	`metadata.event_type` が `USER_LOGIN` の場合、「AUTHTYPE_UNSPECIFIED」に設定します。
なし	`security_result.severity`	`log_level` と `syslog_pri` に基づくパーサーロジックによって決定されます。`CRITICAL`、`ERROR`、`HIGH`、`MEDIUM`、または `INFORMATIONAL` のいずれかです。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。