Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del solucionador de DNS de BlueCat Edge

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir el solucionador de DNS de BlueCat Edge a Google Security Operations con Bindplane. Primero, el analizador intenta analizar el mensaje de entrada como JSON. Si la operación se realiza correctamente, extrae y estructura varios campos en el esquema del Modelo de datos unificado (UDM), y se enfoca particularmente en la información relacionada con el DNS. Si falla el análisis de JSON, se intentan métodos de análisis alternativos, como grok y pares clave-valor, para extraer los datos pertinentes y asignarlos al esquema del UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
Acceso privilegiado a BlueCat DNS/DHCP

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECAT_EDGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en el solucionador de DNS de borde de BlueCat

Accede a la IU web de BDDS.
Ve a Configuration > pestaña Servers.
Selecciona el nombre de un BDDS para abrir la pestaña Detalles del servidor.
Haz clic en el menú de nombre del servidor > Configuración del servicio.
Haz clic en Service Type > Syslog.
Proporciona los siguientes detalles de configuración:
- Selecciona la casilla de verificación ISO 8601 Timestamp para usar el formato de marca de tiempo ISO 8601 para los mensajes registrados de forma local.
- Servidor: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane.
- Nivel: Selecciona Informativo.
- Selecciona la casilla de verificación Use RFC5 424 Syslog Protocol para usar el protocolo RFC5 424 syslog para los mensajes de syslog.
- Selecciona la casilla de verificación ISO 8601 Timestamp para usar el formato de marca de tiempo ISO 8601 para los mensajes de syslog redireccionados a un servidor syslog remoto.
- En Tipo de servicio, selecciona DNS, DHCP y Todos los demás servicios.
- Transporte: Selecciona UDP.
- Haz clic en Agregar.
Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
answer.domainName	network.dns.answers.name	Es el nombre de dominio de la sección `answer` de la respuesta del DNS. Se quitó el `.` final.
answer.recordTypeId	network.dns.answers.type	Es el ID del tipo de registro de la sección `answer` de la respuesta de DNS, convertido en un número entero sin signo.
answer.ttl	network.dns.answers.ttl	Es el valor del tiempo de actividad (TTL) de la sección `answer` de la respuesta de DNS, convertido en un número entero sin signo.
customerId	target.user.userid	Es el ID de cliente del registro, que representa al usuario que inició la solicitud de DNS.
domain.domainName	network.dns.authority.data	Es el nombre de dominio de las secciones `authority` o `additional` de la respuesta de DNS. Se quitó el `.` final.
Nombre de host	principal.hostname	Es el nombre de host extraído del encabezado `Host` en el registro sin procesar, solo si el registro no está en formato JSON.
método	network.http.method	Es el método HTTP extraído del registro sin procesar, solo si el registro no está en formato JSON.
parentDomain	principal.administrative_domain	Es el dominio principal del nombre de DNS consultado. Se quitó el `.` final.
puerto	principal.port	Número de puerto extraído del encabezado `Host` en el registro sin procesar, solo si el registro no está en formato JSON, convertido en un número entero.
question.domainName	network.dns.questions.name	Es el nombre de dominio de la sección `question` de la solicitud de DNS. Se quitó el `.` final.
question.questionTypeId	network.dns.questions.type	Es el ID del tipo de pregunta de la sección `question` de la solicitud de DNS, convertido en un número entero sin signo.
responseData.header.aa	network.dns.authoritative	Indica si la respuesta de DNS es autorizada, extraída de la sección `responseData`.
responseData.header.id	network.dns.id	Es el ID del mensaje DNS, extraído de la sección `responseData` y convertido en un número entero sin signo.
responseData.header.opcode	network.dns.opcode	Es el opcode del mensaje DNS, extraído de la sección `responseData` y convertido en un número entero sin signo.
responseData.header.ra	network.dns.recursion_available	Indica si la recursión está disponible, extraída de la sección `responseData`.
responseData.header.rcode	network.dns.response_code	Es el código de respuesta de DNS, extraído de la sección `responseData` y convertido en un número entero sin signo.
responseData.header.rd	network.dns.recursion_desired	Indica si se seleccionó la recursión, extraída de la sección `responseData`.
responseData.header.tc	network.dns.truncated	Indica si el mensaje DNS está truncado, extraído de la sección `responseData`.
servicePointId	additional.fields.value.string_value	Es el ID del punto de servicio del registro.
ID del sitio	additional.fields.value.string_value	Es el ID del sitio que se extrae del registro.
socketProtocol	network.ip_protocol	Es el protocolo de red que se usa para la solicitud de DNS (TCP o UDP).
sourceAddress	principal.ip	Es la dirección IP del cliente de DNS.
sourcePort	principal.port	Número de puerto del cliente de DNS, convertido en un número entero.
threat.indicators	security_result.category_details	Son los indicadores asociados con una amenaza detectada.
threat.type	security_result.threat_name	Es el tipo de amenaza detectada.
hora	metadata.event_timestamp.seconds	Es la marca de tiempo del evento de DNS, extraída del campo `time` y convertida de milisegundos a segundos.
User-Agent	network.http.user_agent	Es la cadena del usuario-agente extraída del registro sin procesar, solo si el registro no está en formato JSON.
	additional.fields.key	`servicePointId`, `siteId`, `Content-Type` o `Content-Length`, según el contenido del registro sin procesar
	metadata.event_type	Es el tipo de evento, establecido en `NETWORK_DNS` si hay una pregunta de DNS; de lo contrario, se establece en `GENERIC_EVENT`.
	metadata.log_type	Es el tipo de registro, que siempre se establece en `BLUECAT_EDGE`.
	network.application_protocol	Es el protocolo de la aplicación, establecido en `DNS` si hay una pregunta de DNS, o bien en `HTTP` si se extrae un método HTTP, o se deja vacío.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.