Mengumpulkan log BMC Helix Discovery

Didukung di:

Parser ini mengekstrak kolom dari pesan syslog BMC Helix Discovery menggunakan pola grok. Fokusnya adalah pada peristiwa login/logout dan pembaruan status. Proses ini memetakan kolom yang diekstrak seperti stempel waktu, nama pengguna, IP sumber, dan deskripsi ke UDM. Peristiwa dikategorikan berdasarkan product_event_type yang diekstrak dan detail log.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke instance BeyondTrust.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Mulai ulang Agen Bindplane untuk menerapkan perubahan:

    sudo systemctl restart bindplane

Mengekspor Syslog dari BMC Helix Discovery

  1. Akses instance BMC Discovery sebagai pengguna root.
  2. Edit file konfigurasi syslog: etc/rsyslog.conf
  3. Tambahkan entri berikut di bagian atas: # Send everything to the remote syslog server.

  4. Ganti alamat IP dengan alamat server syslog Anda:

    # Send everything to the remote syslog server

*.* @192.168.1.100

  5. Mulai ulang layanan syslog di appliance:

    sudo /usr/bin/systemctl restart rsyslog.service

  6. Uji konfigurasi penerusan.

  7. Gunakan utilitas logger untuk mengirim pesan syslog:

    logger this is a test of remote logging

  8. Pastikan ini telah dicatat:

    su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

  9. Login ke Google SecOps dan periksa apakah pesan yang sama muncul.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
data metadata.description Deskripsi peristiwa, diekstrak dari pesan log.
data metadata.product_event_type Jenis peristiwa mentah, diekstrak dari pesan log.
data principal.ip Alamat IP sumber, diekstrak dari kolom deskripsi dalam pesan log.
data security_result.summary Ringkasan peristiwa, yang diekstrak dari pesan log.
data target.user.userid Nama pengguna, diekstrak dari pesan log. Objek kosong dibuat oleh parser. Disalin dari kolom timestamp tingkat teratas dalam log mentah. Ditentukan oleh parser berdasarkan kolom product_event_type dan desc. Jika product_event_type adalah "logon" atau desc berisi "logged on", maka ditetapkan ke "USER_LOGIN". Jika product_event_type adalah "logoff" atau desc berisi "logged off", maka akan ditetapkan ke "USER_LOGOUT". Jika tidak, jika src_ip ada, nilai ini akan ditetapkan ke "STATUS_UPDATE". Default-nya adalah "GENERIC_EVENT". Dikodekan secara permanen ke "BMC_HELIX_DISCOVERY". Dikodekan secara permanen ke "BMC_HELIX_DISCOVERY". Dikodekan secara permanen ke "BMC_HELIX_DISCOVERY".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.