Recopilar registros de BMC Helix Discovery

Disponible en:

Este analizador extrae campos de mensajes syslog de BMC Helix Discovery mediante patrones grok. Se centra en los eventos de inicio y cierre de sesión, así como en las actualizaciones de estado. Asigna campos extraídos, como marcas de tiempo, nombres de usuario, IPs de origen y descripciones, a UDM. Los eventos se clasifican en función de los detalles de product_event_type y del registro extraídos.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google Security Operations.
  • Asegúrate de que usas Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de tener acceso privilegiado a la instancia de BeyondTrust.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

  1. Para instalar en Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para instalar Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al equipo en el que está instalado Bindplane.

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reinicia el agente de Bindplane para aplicar los cambios:

    sudo systemctl restart bindplane

Exportar Syslog desde BMC Helix Discovery

  1. Accede a la instancia de BMC Discovery como usuario raíz.
  2. Edita el archivo de configuración de syslog: etc/rsyslog.conf
  3. Añade la siguiente entrada en la parte superior: # Send everything to the remote syslog server.

  4. Sustituye la dirección IP por la de tu servidor syslog:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Reinicia el servicio syslog en el dispositivo:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Prueba la configuración de reenvío.

  7. Usa la utilidad de registro para enviar un mensaje syslog:

    logger this is a test of remote logging

  8. Verifica que se haya registrado lo siguiente:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Inicia sesión en Google SecOps y comprueba que aparecen los mismos mensajes.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
data metadata.description La descripción del evento, extraída del mensaje de registro.
data metadata.product_event_type El tipo de evento sin procesar, extraído del mensaje de registro.
data principal.ip La dirección IP de origen, extraída del campo de descripción del mensaje de registro.
data security_result.summary Un resumen del evento, extraído del mensaje de registro.
data target.user.userid El nombre de usuario, extraído del mensaje de registro. El analizador crea un objeto vacío. Copiado del campo timestamp de nivel superior del registro sin procesar. El analizador lo determina en función de los campos product_event_type y desc. Si product_event_type es "logon" o desc contiene "logged on", se le asigna el valor "USER_LOGIN". Si product_event_type es "logoff" o desc contiene "logged off", se asigna el valor "USER_LOGOUT". De lo contrario, si src_ip está presente, se le asigna el valor "STATUS_UPDATE". El valor predeterminado es "GENERIC_EVENT". Codificado como "BMC_HELIX_DISCOVERY". Codificado como "BMC_HELIX_DISCOVERY". Codificado como "BMC_HELIX_DISCOVERY".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.