收集 Cisco UCS 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Cisco UCS 日志注入到 Google Security Operations。解析器代码首先尝试将原始日志消息解析为 JSON。如果该方法失败,则使用正则表达式(grok 模式)根据常见的 Cisco UCS 日志格式从消息中提取字段。。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于开放状态
- 对 Cisco UCS 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
```cmd msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet ```
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
```bash sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh ```
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CISCO_UCS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
```bash sudo systemctl restart bindplane-agent ```如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
```cmd net stop BindPlaneAgent && net start BindPlaneAgent ```
为 Cisco UCS 配置 Syslog
- 登录 Cisco UCS 管理器。
- 选择管理标签。
- 展开故障、事件和审核日志。
- 选择 Syslog。
- 找到文件类别,然后为“管理员状态”选择已启用。
- 从菜单中选择报警级别(例如警告)。
- 点击保存更改。
- 找到右侧的 Remote Destinations 类别。
- 为服务器 1 管理员状态选择已启用。
- 提供以下配置详细信息:
- 级别:选择信息。
- 主机名:输入 Bindplane IP 地址。UCS 中的默认端口为
514。 - 设施:选择 Local7。
- 点击保存更改。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 应用 | read_only_udm.principal.application | 从 Grok 模式提取的“application”字段中获取的值。 |
| 降序 | read_only_udm.security_result.description | 从 Grok 模式提取的“desc”字段中获取的值。 |
| 降序 | read_only_udm.security_result.severity | 如果“desc”字段包含 Warning,则设置为 HIGH。 |
| filename | read_only_udm.principal.process.file.full_path | 从 Grok 模式提取的“filename”字段中获取的值。 |
| file_size | read_only_udm.principal.process.file.size | 从 Grok 模式提取的“file_size”字段中获取的值,并转换为无符号整数。 |
| 主机 | read_only_udm.principal.ip | 从 Grok 模式提取的“host”字段中获取的值。 |
| 主机名 | read_only_udm.principal.hostname | 从 Grok 模式提取的“hostname”字段中获取的值。 |
| prod_evt_type | read_only_udm.metadata.product_event_type | 从 Grok 模式提取的“prod_evt_type”字段中获取的值。 |
| 服务 | read_only_udm.target.application | 从 Grok 模式提取的“服务”字段中获取的值。 |
| 和程度上减少 | read_only_udm.security_result.severity | 如果“严重程度”字段包含 error(不区分大小写),则设置为 ERROR。 |
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds | 从 Grok 模式提取的“时间戳”字段中获取的值,并解析为时间戳。 |
| 用户 | read_only_udm.principal.user.userid | 从 Grok 模式提取的“用户”字段中获取的值。 |
| read_only_udm.extensions.auth.type | 如果“user”字段不为空,则设置为 MACHINE。 |
|
| read_only_udm.metadata.event_type | 基于字段存在情况的逻辑:如果“user”字段不为空,则为 - USER_LOGIN。- 如果“hostname”和“host”字段均为空,则为 GENERIC_EVENT。否则为 - STATUS_UPDATE。 |
|
| read_only_udm.metadata.log_type | 硬编码为 CISCO_UCS。 |
|
| read_only_udm.metadata.product_name | 硬编码为 Cisco UCS。 |
|
| read_only_udm.metadata.vendor_name | 硬编码为 Cisco。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。