BMC Helix Discovery-Logs erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus BMC Helix Discovery-Syslog-Nachrichten mithilfe von Grok-Mustern. Es konzentriert sich auf An- und Abmeldeereignisse sowie Statusaktualisierungen. Dabei werden extrahierte Felder wie Zeitstempel, Nutzernamen, Quell-IPs und Beschreibungen dem UDM zugeordnet. Ereignisse werden anhand der extrahierten product_event_type und der Protokolldetails kategorisiert.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf die BeyondTrust-Instanz haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Skript aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Skript aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

  1. Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:

    sudo systemctl restart bindplane

Syslog aus BMC Helix Discovery exportieren

  1. Greifen Sie als Root-Nutzer auf die BMC Discovery-Instanz zu.
  2. Bearbeiten Sie die Datei Syslog-Konfiguration: etc/rsyslog.conf
  3. Fügen Sie oben den folgenden Eintrag hinzu: # Send everything to the remote syslog server.

  4. Ersetzen Sie die IP-Adresse durch die Ihres Syslog-Servers:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Starten Sie den Syslog-Dienst auf der Appliance neu:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Weiterleitungskonfiguration testen

  7. So senden Sie eine Syslog-Nachricht mit dem Logger-Dienstprogramm:

    logger this is a test of remote logging

  8. Prüfen Sie, ob dies protokolliert wurde:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Melden Sie sich in Google SecOps an und prüfen Sie, ob dieselben Meldungen angezeigt werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
data metadata.description Die Beschreibung des Ereignisses, die aus der Log-Nachricht extrahiert wurde.
data metadata.product_event_type Der Rohereignistyp, der aus der Logmeldung extrahiert wurde.
data principal.ip Die Quell-IP-Adresse, die aus dem Feld „Beschreibung“ in der Logmeldung extrahiert wurde.
data security_result.summary Eine Zusammenfassung des Ereignisses, die aus der Log-Nachricht extrahiert wurde.
data target.user.userid Der Nutzername, der aus der Lognachricht extrahiert wurde. Der Parser erstellt ein leeres Objekt. Wird aus dem Feld timestamp der obersten Ebene im Rohlog kopiert. Wird vom Parser anhand der Felder product_event_type und desc bestimmt. Wenn product_event_type „logon“ ist oder desc „logged on“ enthält, wird der Wert auf „USER_LOGIN“ festgelegt. Wenn product_event_type „logoff“ ist oder desc „logged off“ enthält, wird der Wert auf „USER_LOGOUT“ festgelegt. Andernfalls wird src_ip auf „STATUS_UPDATE“ gesetzt, sofern es vorhanden ist. Der Standardwert ist „GENERIC_EVENT“. Fest codiert auf „BMC_HELIX_DISCOVERY“. Fest codiert auf „BMC_HELIX_DISCOVERY“. Fest codiert auf „BMC_HELIX_DISCOVERY“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten