收集 Cisco UCS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Cisco UCS 日志注入到 Google Security Operations。解析器代码会先尝试将原始日志消息解析为 JSON。如果失败,则会根据常见的 Cisco UCS 日志格式,使用正则表达式 (grok 模式) 从消息中提取字段。。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者搭载 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于打开状态
- 对 Cisco UCS 的特权访问权限
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
```cmd msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet ```
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
```bash sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh ```
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CISCO_UCS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
```bash sudo systemctl restart bindplane-agent ```如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
```cmd net stop BindPlaneAgent && net start BindPlaneAgent ```
为 Cisco UCS 配置 Syslog
- 登录 Cisco UCS Manager。
- 选择管理标签。
- 展开故障、事件和审核日志。
- 选择 Syslog。
- 找到文件类别,然后为“管理状态”选择已启用。
- 从菜单中选择闹钟级别(例如警告)。
- 点击保存更改。
- 在右侧找到远程目标位置类别。
- 为服务器 1 管理员状态选择已启用。
- 提供以下配置详细信息:
- 级别:选择信息。
- 主机名:输入 BindPlane IP 地址。UCS 中的默认端口为
514。 - 设施:选择 Local7。
- 点击保存更改。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 应用 | read_only_udm.principal.application | 从 Grok 模式提取的“application”字段中提取的值。 |
| 降序 | read_only_udm.security_result.description | 从 Grok 模式提取的“desc”字段中提取的值。 |
| 降序 | read_only_udm.security_result.severity | 如果“desc”字段包含 Warning,请将其设置为 HIGH。 |
| filename | read_only_udm.principal.process.file.full_path | 从 Grok 模式提取的“filename”字段中提取的值。 |
| file_size | read_only_udm.principal.process.file.size | 从 Grok 模式提取的“file_size”字段中提取的值,并转换为无符号整数。 |
| 主机 | read_only_udm.principal.ip | 从 Grok 模式提取的“host”字段中提取的值。 |
| 主机名 | read_only_udm.principal.hostname | 从 Grok 模式提取的“hostname”字段中提取的值。 |
| prod_evt_type | read_only_udm.metadata.product_event_type | 从 Grok 模式提取的“prod_evt_type”字段中提取的值。 |
| 服务 | read_only_udm.target.application | 从 Grok 模式提取的“service”字段中提取的值。 |
| 和程度上减少 | read_only_udm.security_result.severity | 如果“severity”字段包含 error(不区分大小写),请将其设置为 ERROR。 |
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds | 从 Grok 模式提取的“timestamp”字段中提取的值,并解析为时间戳。 |
| 用户 | read_only_udm.principal.user.userid | 从 Grok 模式提取的“user”字段中提取的值。 |
| read_only_udm.extensions.auth.type | 如果“user”字段不为空,则设为 MACHINE。 |
|
| read_only_udm.metadata.event_type | 根据字段存在情况的逻辑:如果“用户”字段不为空,则为 ;否则为 USER_LOGIN。- 如果“主机名”和“主机”字段均为空,则为 GENERIC_EVENT。- 否则为 STATUS_UPDATE。 |
|
| read_only_udm.metadata.log_type | 已硬编码为 CISCO_UCS。 |
|
| read_only_udm.metadata.product_name | 已硬编码为 Cisco UCS。 |
|
| read_only_udm.metadata.vendor_name | 已硬编码为 Cisco。 |
变化
2022-07-04
增强功能:
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。