Collecter les journaux BMC Helix Discovery

Compatible avec :

Cet analyseur extrait les champs des messages syslog BMC Helix Discovery à l'aide de modèles Grok. Il se concentre sur les événements de connexion/déconnexion et les mises à jour de l'état. Il mappe les champs extraits tels que les codes temporels, les noms d'utilisateur, les adresses IP sources et les descriptions à l'UDM. Les événements sont classés en fonction des product_event_type extraits et des détails du journal.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à l'instance BeyondTrust.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

  1. Pour installer sous Windows, exécutez le script suivant :
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Pour installer sous Linux, exécutez le script suivant :
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Vous trouverez d'autres options d'installation dans ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

  1. Accédez à la machine sur laquelle Bindplane est installé.

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Redémarrez l'agent Bindplane pour appliquer les modifications :

    sudo systemctl restart bindplane

Exporter Syslog depuis BMC Helix Discovery

  1. Accédez à l'instance BMC Discovery en tant qu'utilisateur root.
  2. Modifiez le fichier de configuration syslog : etc/rsyslog.conf
  3. Ajoutez l'entrée suivante en haut : # Send everything to the remote syslog server.

  4. Remplacez l'adresse IP par celle de votre serveur syslog :

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Redémarrez le service syslog sur l'appliance :

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Testez la configuration du transfert.

  7. Utilisez l'utilitaire de journalisation pour envoyer un message syslog :

    logger this is a test of remote logging

  8. Vérifiez que cela a été enregistré :

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Connectez-vous à Google SecOps et vérifiez que les mêmes messages s'affichent.

Table de mappage UDM

Champ de journal Mappage UDM Logique
data metadata.description Description de l'événement, extraite du message du journal.
data metadata.product_event_type Type d'événement brut, extrait du message du journal.
data principal.ip Adresse IP source, extraite du champ de description du message du journal.
data security_result.summary Résumé de l'événement, extrait du message du journal.
data target.user.userid Nom d'utilisateur extrait du message de journal. Un objet vide est créé par l'analyseur. Copié à partir du champ timestamp de premier niveau dans le journal brut. Déterminé par l'analyseur en fonction des champs product_event_type et desc. Si product_event_type est "logon" ou si desc contient "logged on", la valeur est définie sur "USER_LOGIN". Si product_event_type est défini sur "logoff" ou si desc contient "logged off", la valeur est définie sur "USER_LOGOUT". Sinon, si src_ip est présent, il est défini sur "STATUS_UPDATE". La valeur par défaut est "GENERIC_EVENT". Codé en dur sur "BMC_HELIX_DISCOVERY". Codé en dur sur "BMC_HELIX_DISCOVERY". Codé en dur sur "BMC_HELIX_DISCOVERY".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.