Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del resolver DNS BlueCat Edge

Supportato in:

Google secops SIEM

Questo documento spiega come importare BlueCat Edge DNS Resolver in Google Security Operations utilizzando Bindplane. Il parser tenta innanzitutto di analizzare il messaggio di input come JSON. In caso di esito positivo, estrae e struttura vari campi nello schema Unified Data Model (UDM), concentrandosi in particolare sulle informazioni relative al DNS. Se l'analisi JSON non va a buon fine, prova metodi di analisi alternativi come grok e coppie chiave-valore per estrarre i dati pertinenti e mapparli allo schema UDM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso con privilegi a BlueCat DNS/DHCP

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente BindPlane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECAT_EDGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog sul resolver DNS BlueCat Edge

Accedi all'interfaccia utente web di BDDS.
Vai alla scheda Configurazione > Server.
Seleziona il nome di un BDDS per aprire la scheda Dettagli del server.
Fai clic sul menu del nome del server > Configurazione servizio.
Fai clic su Tipo di servizio > Syslog.
Fornisci i seguenti dettagli di configurazione:
- Seleziona la casella di controllo Timestamp ISO 8601 per utilizzare il formato del timestamp ISO 8601 per i messaggi registrati localmente.
- Server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Livello: seleziona Informativo.
- Seleziona la casella di controllo Utilizza il protocollo syslog RFC5 424 per utilizzare il protocollo syslog RFC5 424 per i messaggi syslog.
- Seleziona la casella di controllo Timestamp ISO 8601 per utilizzare il formato timestamp ISO 8601 per i messaggi syslog reindirizzati a un server syslog remoto.
- In Tipo di servizio, seleziona DNS, DHCP e Tutti gli altri servizi.
- Trasporto: seleziona UDP.
- Fai clic su Aggiungi.
Fai clic su Aggiorna.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
answer.domainName	network.dns.answers.name	Il nome di dominio della sezione `answer` della risposta DNS. Il `.` finale viene rimosso.
answer.recordTypeId	network.dns.answers.type	L'ID del tipo di record della sezione `answer` della risposta DNS, convertito in un numero intero senza segno.
answer.ttl	network.dns.answers.ttl	Il valore Time to Live (TTL) della sezione `answer` della risposta DNS, convertito in un numero intero senza segno.
customerId	target.user.userid	L'ID cliente del log, che rappresenta l'utente che ha avviato la richiesta DNS.
domain.domainName	network.dns.authority.data	Il nome di dominio delle sezioni `authority` o `additional` della risposta DNS. Il `.` finale viene rimosso.
nome host	principal.hostname	Il nome host estratto dall'intestazione `Host` nel log non elaborato, solo se il log non è in formato JSON.
metodo	network.http.method	Il metodo HTTP estratto dal log non elaborato, solo se il log non è in formato JSON.
parentDomain	principal.administrative_domain	Il dominio principale del nome DNS sottoposto a query. Il `.` finale viene rimosso.
porta	principal.port	Il numero di porta estratto dall'intestazione `Host` nel log non elaborato, solo se il log non è in formato JSON, convertito in un numero intero.
question.domainName	network.dns.questions.name	Il nome di dominio della sezione `question` della richiesta DNS. Il `.` finale viene rimosso.
question.questionTypeId	network.dns.questions.type	L'ID del tipo di domanda della sezione `question` della richiesta DNS, convertito in un numero intero senza segno.
responseData.header.aa	network.dns.authoritative	Indica se la risposta DNS è autorevole, estratta dalla sezione `responseData`.
responseData.header.id	network.dns.id	L'ID messaggio DNS, estratto dalla sezione `responseData`, convertito in un numero intero senza segno.
responseData.header.opcode	network.dns.opcode	Il codice operativo del messaggio DNS, estratto dalla sezione `responseData`, convertito in un numero intero senza segno.
responseData.header.ra	network.dns.recursion_available	Indica se la ricorsione è disponibile, estratta dalla sezione `responseData`.
responseData.header.rcode	network.dns.response_code	Il codice di risposta DNS, estratto dalla sezione `responseData`, convertito in un numero intero senza segno.
responseData.header.rd	network.dns.recursion_desired	Indica se la ricorsione è selezionata, estratta dalla sezione `responseData`.
responseData.header.tc	network.dns.truncated	Indica se il messaggio DNS è troncato, estratto dalla sezione `responseData`.
servicePointId	additional.fields.value.string_value	L'ID del punto di servizio dal log.
siteId	additional.fields.value.string_value	L'ID sito del log.
socketProtocol	network.ip_protocol	Il protocollo di rete utilizzato per la richiesta DNS (TCP o UDP).
sourceAddress	principal.ip	L'indirizzo IP del client DNS.
sourcePort	principal.port	Il numero di porta del client DNS, convertito in un numero intero.
threat.indicators	security_result.category_details	Gli indicatori associati a una minaccia rilevata.
threat.type	security_result.threat_name	Il tipo di minaccia rilevata.
tempo	metadata.event_timestamp.seconds	Il timestamp dell'evento DNS, estratto dal campo `time` e convertito da millisecondi a secondi.
User-Agent	network.http.user_agent	La stringa user agent estratta dal log non elaborato, solo se il log non è in formato JSON.
	additional.fields.key	`servicePointId` o `siteId` o `Content-Type` o `Content-Length`, a seconda del contenuto del log non elaborato.
	metadata.event_type	Il tipo di evento, impostato su `NETWORK_DNS` se è presente una domanda DNS, altrimenti impostato su `GENERIC_EVENT`.
	metadata.log_type	Il tipo di log, sempre impostato su `BLUECAT_EDGE`.
	network.application_protocol	Il protocollo dell'applicazione, impostato su `DNS` se è presente una query DNS, altrimenti impostato su `HTTP` se viene estratto un metodo HTTP o lasciato vuoto.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.