Diese Seite wurde von der Cloud Translation API übersetzt.

BlueCat Edge DNS Resolver-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie den BlueCat Edge DNS Resolver mit Bindplane in Google Security Operations aufnehmen. Der Parser versucht zuerst, die Eingabenachricht als JSON zu parsen. Bei Erfolg werden verschiedene Felder extrahiert und im Schema für einheitliche Datenmodelle (Unified Data Model, UDM) strukturiert, wobei der Schwerpunkt auf DNS-bezogenen Informationen liegt. Wenn die JSON-Analyse fehlschlägt, werden alternative Analysemethoden wie Grok und Schlüssel/Wert-Paare verwendet, um relevante Daten zu extrahieren und dem UDM-Schema zuzuordnen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf BlueCat DNS/DHCP

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECAT_EDGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf BlueCat Edge DNS Resolver konfigurieren

Melden Sie sich in der BDDS-Web-UI an.
Rufen Sie den Tab Konfiguration > Server auf.
Wählen Sie den Namen eines BDDS aus, um den Tab „Details“ für den Server zu öffnen.
Klicken Sie auf das Menü mit dem Servernamen > Dienstkonfiguration.
Klicken Sie auf Servicetyp> Syslog.
Geben Sie die folgenden Konfigurationsdetails an:
- Aktivieren Sie das Kästchen ISO 8601-Zeitstempel, um das ISO 8601-Zeitstempelformat für lokal protokollierte Nachrichten zu verwenden.
- Server: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein.
- Level: Wählen Sie Informational aus.
- Aktivieren Sie das Kästchen Use RFC5 424 Syslog Protocol (RFC5 424-Syslog-Protokoll verwenden), um das RFC5 424-Syslog-Protokoll für Syslog-Nachrichten zu verwenden.
- Aktivieren Sie das Kästchen ISO 8601-Zeitstempel, um das ISO 8601-Zeitstempelformat für Syslog-Meldungen zu verwenden, die an einen Remote-Syslog-Server weitergeleitet werden.
- Wählen Sie unter Diensttyp die Optionen DNS, DHCP und Alle anderen Dienste aus.
- Transport: Wählen Sie UDP aus.
- Klicken Sie auf Hinzufügen.
Klicken Sie auf Aktualisieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
answer.domainName	network.dns.answers.name	Der Domainname aus dem `answer`-Abschnitt der DNS-Antwort. Das abschließende `.` wird entfernt.
answer.recordTypeId	network.dns.answers.type	Die Datensatztyp-ID aus dem Abschnitt `answer` der DNS-Antwort, in eine vorzeichenlose Ganzzahl konvertiert.
answer.ttl	network.dns.answers.ttl	Der Wert für die Gültigkeitsdauer (Time to Live, TTL) aus dem `answer`-Abschnitt der DNS-Antwort, in eine vorzeichenlose Ganzzahl umgewandelt.
customerId	target.user.userid	Die Kunden-ID aus dem Log, die den Nutzer darstellt, der die DNS-Anfrage initiiert hat.
domain.domainName	network.dns.authority.data	Der Domainname aus den Abschnitten `authority` oder `additional` der DNS-Antwort. Das abschließende `.` wird entfernt.
Hostname	principal.hostname	Der Hostname, der aus dem `Host`-Header im Rohlog extrahiert wurde, nur wenn das Log nicht im JSON-Format vorliegt.
Methode	network.http.method	Die aus dem Rohlog extrahierte HTTP-Methode, nur wenn das Log nicht im JSON-Format vorliegt.
parentDomain	principal.administrative_domain	Die übergeordnete Domain des abgefragten DNS-Namens. Das abschließende `.` wird entfernt.
Port	principal.port	Die Portnummer, die aus dem `Host`-Header im Rohlog extrahiert wurde, nur wenn das Log nicht im JSON-Format vorliegt, in eine Ganzzahl konvertiert.
question.domainName	network.dns.questions.name	Der Domainname aus dem `question`-Abschnitt der DNS-Anfrage. Das abschließende `.` wird entfernt.
question.questionTypeId	network.dns.questions.type	Die ID des Fragetyp aus dem `question`-Abschnitt der DNS-Anfrage, konvertiert in eine vorzeichenlose Ganzzahl.
responseData.header.aa	network.dns.authoritative	Gibt an, ob die DNS-Antwort autoritativ ist. Wird aus dem Abschnitt `responseData` extrahiert.
responseData.header.id	network.dns.id	Die DNS-Nachrichten-ID, die aus dem `responseData`-Abschnitt extrahiert und in eine Ganzzahl ohne Vorzeichen konvertiert wurde.
responseData.header.opcode	network.dns.opcode	Der DNS-Nachrichten-Opcode, der aus dem `responseData`-Abschnitt extrahiert und in eine Ganzzahl ohne Vorzeichen konvertiert wurde.
responseData.header.ra	network.dns.recursion_available	Gibt an, ob Rekursion verfügbar ist. Wird aus dem Abschnitt `responseData` extrahiert.
responseData.header.rcode	network.dns.response_code	Der DNS-Antwortcode, der aus dem Abschnitt `responseData` extrahiert und in eine vorzeichenlose Ganzzahl umgewandelt wurde.
responseData.header.rd	network.dns.recursion_desired	Gibt an, ob die Rekursion ausgewählt ist. Der Wert wird aus dem Abschnitt `responseData` extrahiert.
responseData.header.tc	network.dns.truncated	Gibt an, ob die DNS-Nachricht gekürzt wurde. Der Wert wird aus dem Abschnitt `responseData` extrahiert.
servicePointId	additional.fields.value.string_value	Die Servicepunkt-ID aus dem Log.
siteId	additional.fields.value.string_value	Die Website-ID aus dem Log.
socketProtocol	network.ip_protocol	Das für die DNS-Anfrage verwendete Netzwerkprotokoll (TCP oder UDP).
sourceAddress	principal.ip	Die IP-Adresse des DNS-Clients.
sourcePort	principal.port	Die Portnummer des DNS-Clients, in eine Ganzzahl umgewandelt.
threat.indicators	security_result.category_details	Die Indikatoren, die mit einer erkannten Bedrohung verknüpft sind.
threat.type	security_result.threat_name	Die Art der erkannten Bedrohung.
Zeit	metadata.event_timestamp.seconds	Der Zeitstempel des DNS-Ereignisses, der aus dem Feld `time` extrahiert und von Millisekunden in Sekunden umgerechnet wird.
User-Agent	network.http.user_agent	Der User-Agent-String, der aus dem Rohlog extrahiert wurde, nur wenn das Log nicht im JSON-Format vorliegt.
	additional.fields.key	`servicePointId`, `siteId`, `Content-Type` oder `Content-Length`, je nach Inhalt des Rohlogs.
	metadata.event_type	Der Ereignistyp, der auf `NETWORK_DNS` festgelegt ist, wenn eine DNS-Frage vorhanden ist, andernfalls auf `GENERIC_EVENT`.
	metadata.log_type	Der Logtyp, immer auf `BLUECAT_EDGE` festgelegt.
	network.application_protocol	Das Anwendungsprotokoll, das auf `DNS` gesetzt wird, wenn eine DNS-Frage vorhanden ist, andernfalls auf `HTTP`, wenn eine HTTP-Methode extrahiert wird, oder leer gelassen wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten