Mengumpulkan log BlueCat Edge DNS Resolver

Didukung di:

Dokumen ini menjelaskan cara menyerap BlueCat Edge DNS Resolver ke Google Security Operations menggunakan Bindplane. Pengurai pertama-tama mencoba mengurai pesan input sebagai JSON. Jika berhasil, alat ini akan mengekstrak dan menyusun berbagai kolom ke dalam skema Model Data Terpadu (UDM), khususnya berfokus pada informasi terkait DNS. Jika penguraian JSON gagal, metode ini akan mencoba metode penguraian alternatif seperti grok dan key-value pair untuk mengekstrak data yang relevan dan memetakannya ke skema UDM.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika dijalankan di belakang proxy, port firewall terbuka
  • Akses istimewa ke BlueCat DNS/DHCP

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:
    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECAT_EDGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
    • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog di BlueCat Edge DNS Resolver

  1. Login ke UI web BDDS.
  2. Buka tab Configuration > Servers.
  3. Pilih nama BDDS untuk membuka tab Detail untuk server.
  4. Klik menu nama server > Konfigurasi Layanan.
  5. Klik Service Type > Syslog.
  6. Berikan detail konfigurasi berikut:
    • Centang kotak Stempel Waktu ISO 8601 untuk menggunakan format stempel waktu ISO 8601 untuk pesan yang dicatat secara lokal.
    • Server: Masukkan alamat IP agen Bindplane.
    • Port: Masukkan nomor port agen Bindplane.
    • Level: Pilih Informasional.
    • Centang kotak Gunakan Protokol Syslog RFC5 424 untuk menggunakan protokol syslog RFC5 424 untuk pesan syslog.
    • Pilih kotak centang Stempel Waktu ISO 8601 untuk menggunakan format stempel waktu ISO 8601 untuk pesan syslog yang dialihkan ke server syslog jarak jauh.
    • Di bagian Service Type, pilih DNS, DHCP, dan All Other Services.
    • Transportasi: Pilih UDP.
    • Klik Tambahkan.
  7. Klik Perbarui.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
answer.domainName network.dns.answers.name Nama domain dari bagian answer respons DNS. . di akhir dihapus.
answer.recordTypeId network.dns.answers.type ID jenis catatan dari bagian answer respons DNS, yang dikonversi menjadi bilangan bulat tidak bertanda.
answer.ttl network.dns.answers.ttl Nilai Time to Live (TTL) dari bagian answer respons DNS, yang dikonversi menjadi bilangan bulat tidak bertanda.
customerId target.user.userid ID pelanggan dari log, yang mewakili pengguna yang memulai permintaan DNS.
domain.domainName network.dns.authority.data Nama domain dari bagian authority atau additional respons DNS. . di akhir dihapus.
hostname principal.hostname Nama host diekstrak dari header Host dalam log mentah, hanya jika log tidak dalam format JSON.
metode network.http.method Metode HTTP yang diekstrak dari log mentah, hanya jika log tidak dalam format JSON.
parentDomain principal.administrative_domain Domain induk dari nama DNS yang dikueri. . di akhir dihapus.
port principal.port Nomor port yang diekstrak dari header Host dalam log mentah, hanya jika log tidak dalam format JSON, dikonversi menjadi bilangan bulat.
question.domainName network.dns.questions.name Nama domain dari bagian question permintaan DNS. . di akhir dihapus.
question.questionTypeId network.dns.questions.type ID jenis pertanyaan dari bagian question permintaan DNS, dikonversi menjadi bilangan bulat tidak bertanda.
responseData.header.aa network.dns.authoritative Apakah respons DNS bersifat otoritatif, diekstrak dari bagian responseData.
responseData.header.id network.dns.id ID pesan DNS, diekstrak dari bagian responseData, dikonversi menjadi bilangan bulat tidak bertanda.
responseData.header.opcode network.dns.opcode Opcode pesan DNS, diekstrak dari bagian responseData, dikonversi menjadi bilangan bulat yang tidak bertanda.
responseData.header.ra network.dns.recursion_available Apakah rekursi tersedia, diekstrak dari bagian responseData.
responseData.header.rcode network.dns.response_code Kode respons DNS, diekstrak dari bagian responseData, dikonversi menjadi bilangan bulat tidak bertanda.
responseData.header.rd network.dns.recursion_desired Apakah rekursi dipilih, diekstrak dari bagian responseData.
responseData.header.tc network.dns.truncated Apakah pesan DNS dipangkas, diekstrak dari bagian responseData.
servicePointId additional.fields.value.string_value ID titik layanan dari log.
siteId additional.fields.value.string_value ID situs dari log.
socketProtocol network.ip_protocol Protokol jaringan yang digunakan untuk permintaan DNS (TCP atau UDP).
sourceAddress principal.ip Alamat IP klien DNS.
sourcePort principal.port Nomor port klien DNS, dikonversi menjadi bilangan bulat.
threat.indicators security_result.category_details Indikator yang terkait dengan ancaman yang terdeteksi.
threat.type security_result.threat_name Jenis ancaman yang terdeteksi.
waktu metadata.event_timestamp.seconds Stempel waktu peristiwa DNS, diekstrak dari kolom time dan dikonversi dari milidetik ke detik.
Agen Pengguna network.http.user_agent String agen pengguna yang diekstrak dari log mentah, hanya jika log tidak dalam format JSON.
additional.fields.key servicePointId atau siteId atau Content-Type atau Content-Length, bergantung pada konten log mentah.
metadata.event_type Jenis peristiwa, disetel ke NETWORK_DNS jika ada pertanyaan DNS, atau disetel ke GENERIC_EVENT.
metadata.log_type Jenis log, selalu disetel ke BLUECAT_EDGE.
network.application_protocol Protokol aplikasi, ditetapkan ke DNS jika ada pertanyaan DNS, atau ditetapkan ke HTTP jika metode HTTP diekstrak, atau dibiarkan kosong.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.