Recolha registos do BMC Helix Discovery

Este analisador extrai campos de mensagens syslog do BMC Helix Discovery através de padrões grok. Foca-se nos eventos de início/fim de sessão e nas atualizações de estado. Mapeia campos extraídos, como datas/horas, nomes de utilizadores, IPs de origem e descrições, para o UDM. Os eventos são categorizados com base nos detalhes product_event_type extraídos e do registo.

Antes de começar

• Certifique-se de que tem uma instância do Google Security Operations.
• Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
• Certifique-se de que tem acesso privilegiado à instância do BeyondTrust.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

1. Para a instalação do Windows, execute o seguinte script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para a instalação do Linux, execute o seguinte script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda à máquina onde o Bindplane está instalado.

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: BMC_HELIX_DISCOVERY
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicie o agente do Bindplane para aplicar as alterações:

   sudo systemctl restart bindplane
   

Exporte o Syslog do BMC Helix Discovery

1. Aceda à instância do BMC Discovery como utilizador root.
2. Edite o ficheiro de configuração do syslog: etc/rsyslog.conf
3. Adicione a seguinte entrada na parte superior: # Send everything to the remote syslog server.

4. Substitua o endereço IP pelo do seu servidor syslog:

   # Send everything to the remote syslog server
   
   *.* @192.168.1.100
   

5. Reinicie o serviço syslog no dispositivo:

   sudo /usr/bin/systemctl restart rsyslog.service
   

6. Teste a configuração de encaminhamento.

7. Use o utilitário logger para enviar uma mensagem syslog:

   logger this is a test of remote logging
   

8. Verifique se isto foi registado:

   su -
   Password:
   
   tail -n5 /var/log/messages
   Jan 17 11:42:10 localhost seclab: this is a test of remote logging
   

9. Inicie sessão no Google SecOps e verifique se as mesmas mensagens são apresentadas.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.