Dell ECS-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus DELL ECS-Syslog-Nachrichten und ordnet sie dem UDM zu. Es verarbeitet speziell die Ereignistypen UPDATE und DELETE und extrahiert Nutzer- und IP-Informationen für An- und Abmeldeereignisse. Andere Ereignisse werden als GENERIC_EVENT kategorisiert. Dabei werden Grok-Muster verwendet, um die Nachricht zu parsen und Filter zu ändern, um UDM-Felder zu füllen. Ereignisse, die nicht dem erwarteten Format entsprechen, werden verworfen.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Dell ECS haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

  1. Greifen Sie auf die Konfigurationsdatei zu:

    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:

    sudo systemctl restart bindplane-agent

  • Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Dell ECS für das Weiterleiten von Logs an den Syslog-Server konfigurieren

  1. Melden Sie sich mit Administratoranmeldedaten im ECS-Verwaltungsportal an.
  2. Rufen Sie Einstellungen> Ereignisbenachrichtigungen > Syslog auf.
  3. Klicken Sie auf Neuer Server.
  4. Geben Sie die folgenden Informationen ein:
    • Protokoll: Wählen Sie entweder UDP oder TCP aus. Das Protokoll muss mit dem auf dem Syslog-Server konfigurierten Protokoll übereinstimmen.
    • Ziel: Geben Sie die IP-Adresse oder den vollständig qualifizierten Domainnamen (FQDN) des Syslog-Servers ein.
    • Port: Geben Sie die Portnummer ein.
    • Schweregrad: Wählen Sie Informationen als minimalen Schweregrad der weiterzuleitenden Logs aus.
  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Daten read_only_udm.metadata.description Wenn eventType UPDATE ist, wird die Beschreibung aus dem Feld data mithilfe eines regulären Ausdrucks extrahiert. Wenn eventType DELETE ist, wird die Beschreibung aus dem Feld data mithilfe eines regulären Ausdrucks extrahiert und weiterverarbeitet, um die Nutzer-ID zu extrahieren.
Daten read_only_udm.principal.ip Wenn eventType UPDATE ist, wird die IP-Adresse mithilfe eines regulären Ausdrucks aus dem Feld data extrahiert.
Daten read_only_udm.target.resource.product_object_id Wenn eventType DELETE ist, wird das URN-Token aus dem Feld data mithilfe eines regulären Ausdrucks extrahiert.
Daten read_only_udm.target.user.userid Wenn eventType UPDATE ist, wird die Nutzer-ID aus dem Feld data mithilfe eines regulären Ausdrucks extrahiert. Wenn eventType DELETE ist, wird die Nutzer-ID nach der ersten Verarbeitung des Felds data aus dem Feld „description“ extrahiert.
eventType read_only_udm.metadata.event_type Wenn eventType UPDATE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGIN festgelegt. Wenn eventType DELETE ist und eine userid extrahiert wird, wird der Ereignistyp auf USER_LOGOUT festgelegt. Andernfalls wird der Ereignistyp auf GENERIC_EVENT festgelegt.
eventType read_only_udm.metadata.product_event_type Der Wert wird abgeleitet, indem die Felder serviceType und eventType aus dem Rohlog verkettet werden. Sie werden in eckige Klammern gesetzt und durch „ – “ getrennt.
hostname read_only_udm.principal.asset.hostname Der Hostname wird aus dem Feld hostname kopiert.
hostname read_only_udm.principal.hostname Der Hostname wird aus dem Feld hostname kopiert.
log_type read_only_udm.metadata.log_type Der Protokolltyp ist auf DELL_ECS festgelegt. Der Mechanismus ist auf MECHANISM_UNSPECIFIED hartcodiert. Der Zeitstempel des Ereignisses wird aus dem Feld timestamp des unbearbeiteten Logeintrags kopiert. Der Produktname ist fest auf ECS codiert. Der Anbietername ist fest auf DELL codiert. Wenn eventType DELETE ist, ist der Ressourcentyp fest auf CREDENTIAL codiert.
timestamp read_only_udm.metadata.event_timestamp Der Ereigniszeitstempel wird aus dem Feld timestamp des unbearbeiteten Logeintrags übernommen.
timestamp timestamp Der Zeitstempel wird aus dem Feld timestamp des unbearbeiteten Logeintrags geparst.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten