Mengumpulkan log BlueCat DDI

Didukung di:

Parser ini menangani pesan syslog berformat LEEF dan non-LEEF dari Bluecat DDI (DNS, DHCP, IPAM). Skrip ini mengekstrak kolom dari berbagai jenis log (misalnya, named, dhcpd, audit, dan CRON) menggunakan pola grok dan logika bersyarat, memetakannya ke UDM berdasarkan jenis log, dan mengisi kolom terkait DNS, DHCP, atau pengguna.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke Bluecat.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bluceat_ddi
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Mulai ulang Agen Bindplane untuk menerapkan perubahan:

    sudo systemctl restart bindplane

Mengonfigurasi Syslog di Bluecat DDI

  1. Login ke Bluecat Address Manager (BAM).
  2. Dari menu konfigurasi, pilih konfigurasi.
  3. Pilih tab Server.
  4. Di bagian Server, klik nama BDDS.
  5. Tab Details untuk server akan terbuka.
  6. Klik menu nama server.
  7. Pilih Service Configuration.
  8. Klik Service Type > Syslog (Address Manager akan membuat kueri server dan menampilkan nilai saat ini).
  9. Di General, tetapkan nilai berikut:
    • Server Syslog: alamat IP server Syslog Anda (Bindplane).
    • Port Syslog: port server Syslog Anda (Bindplane).
    • Transportasi Syslog: pilih TCP atau UDP (bergantung pada konfigurasi Bindplane Anda).
  10. Klik Tambahkan.
    • Server syslog yang baru ditambahkan akan muncul dalam daftar.
  11. Klik Perbarui.

Mengonfigurasi Setelan Syslog di BlueCat DDI

  1. Login ke BlueCat Address Manager.
  2. Buka Configuration > System Settings > Logging.
  3. Di Setelan Logging, cari bagian Server Syslog.
  4. Klik Tambahkan Server Syslog.
  5. Berikan nilai yang diperlukan:
    • Nama Server: nama unik untuk server syslog (misalnya, BindplaneServer).
    • Alamat IP: alamat IP atau nama host server syslog.
    • Protocol: pilih TCP, UDP (default), atau TLS (berdasarkan konfigurasi syslog Anda).
    • Port: tentukan port untuk komunikasi syslog (default: 514 untuk UDP/TCP, 6514 untuk TLS).
  6. Konfigurasi Tingkat Logging. Pilih tingkat yang sesuai berdasarkan kebutuhan Anda. Opsinya meliputi:
    • Darurat: masalah kritis yang memerlukan perhatian segera
    • Pemberitahuan: pemberitahuan yang memerlukan tindakan segera
    • Kritis: kondisi kritis
    • Error: peristiwa error
    • Peringatan: peristiwa peringatan
    • Pemberitahuan: peristiwa normal tetapi signifikan
    • Info: pesan informasi
    • Debug: informasi debug mendetail
  7. Opsional: Tambahkan fasilitas Syslog kustom untuk mengategorikan log (misalnya, local0 atau local1).
  8. Simpan konfigurasi.

Menerapkan Setelan Syslog ke Peralatan DDI

  1. Buka Server > Kelola Server.
  2. Pilih server DNS/DHCP tempat syslog harus diaktifkan.
  3. Klik Edit Server.
  4. Di bagian Logging:
    • Pilih server syslog yang Anda konfigurasi sebelumnya.
    • Aktifkan logging untuk layanan tertentu (Misalnya, kueri DNS atau lease DHCP).
    • Simpan perubahan.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
client_ip network.dhcp.ciaddr Diekstrak dari pesan DHCPREQUEST. Hanya diisi untuk pesan DHCPREQUEST.
client_mac principal.mac Diekstrak dari pesan DHCP (DHCPDISCOVER, DHCPREQUEST, DHCPRELEASE).
client_mac target.mac Diekstrak dari pesan DHCP (DHCPOFFER, DHCPNAK).
client_mac network.dhcp.chaddr Diekstrak dari pesan DHCP (DHCPREQUEST, DHCPOFFER, DHCPACK, DHCPNAK, DHCPRELEASE).
cmd target.process.command_line Diekstrak dari log CRON. Ampersan dan spasi dihapus.
description metadata.description Diekstrak dari berbagai jenis log, memberikan konteks tambahan.
description metadata.description Diekstrak dari log syslog-ng, memberikan konteks tambahan.
file_path target.file.full_path Diekstrak dari berbagai jenis log, yang merepresentasikan jalur lengkap ke file.
file_path target.process.file.full_path Diekstrak dari log agetty, yang merepresentasikan jalur lengkap ke file yang terkait dengan suatu proses.
inner_message metadata.description Digunakan sebagai deskripsi untuk GENERIC_EVENT saat jenis operasi tidak ditentukan dan untuk log MEM-MON.
metadata.event_type Ditentukan oleh parser berdasarkan jenis dan konten log. Nilai yang mungkin mencakup: NETWORK_DNS, NETWORK_DHCP, USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION. Selalu "BLUECAT_DDI".
metadata.vendor_name Selalu "Bluecat Networks".
metadata.product_name Selalu "Bluecat DDI".
metadata.event_timestamp Disalin dari stempel waktu yang diuraikan dari entri log.
network.protocol Setel ke "DNS" untuk log DNS, "DHCP" untuk log DHCP.
network.dns.answers Array yang berisi catatan jawaban. Kolom data dalam answers diisi dengan target_ip jika ada.
network.dns.questions Array yang berisi catatan pertanyaan. Kolom name diisi dengan target_host, kolom type berasal dari kolom query_type atau question_type, dan kolom class berasal dari kolom qclass.
network.dns.recursive Tetapkan ke "true" jika rec_flag adalah "+".
qclass network.dns.questions.class Diekstrak dari log kueri DNS dan dipetakan ke nilai bilangan bulat menggunakan file dns_query_class_mapping.include.
query_type network.dns.questions.type Diekstrak dari log kueri DNS dan dipetakan ke nilai bilangan bulat menggunakan file dhcp_qtype_mapping.include.
relay_ip intermediary.ip Diekstrak dari log DNS dan DHCP, yang merepresentasikan alamat IP server relay atau perantara.
server_host target.hostname Diekstrak dari berbagai jenis log, yang merepresentasikan nama host server.
server_host network.dhcp.sname Diekstrak dari log DHCP, yang mewakili nama host server.
server_host principal.hostname Diekstrak dari systemd, agetty, dan beberapa log audit, yang merepresentasikan nama host akun utama.
server_ip target.ip Diekstrak dari log berformat LEEF, yang merepresentasikan alamat IP server.
src_ip principal.ip Diekstrak dari berbagai jenis log, yang merepresentasikan alamat IP sumber.
src_ip network.dhcp.yiaddr Digunakan dalam pesan DHCPINFORM untuk mengisi kolom yiaddr.
src_port principal.port Diekstrak dari berbagai jenis log, yang merepresentasikan port sumber.
src_user principal.user.userid Diekstrak dari CRON dan log audit, yang merepresentasikan ID pengguna.
target_host target.hostname Diekstrak dari berbagai jenis log, yang merepresentasikan nama host target.
target_host network.dns.questions.name Digunakan dalam log DNS untuk mengisi nama pertanyaan.
target_ip target.ip Diekstrak dari berbagai jenis log, yang merepresentasikan alamat IP target.
target_ip network.dhcp.ciaddr Digunakan dalam pesan BOOTREQUEST untuk mengisi kolom ciaddr.
target_ip network.dns.answers.data Digunakan dalam log DNS untuk mengisi data jawaban.
tgt_port target.port Diekstrak dari log syslog-ng, yang merepresentasikan port target.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.