Recopilar registros de Dell ECS

Disponible en:

Este analizador extrae campos de mensajes syslog de DELL ECS y los asigna al UDM. Gestiona específicamente los tipos de eventos UPDATE y DELETE, y extrae información de usuarios y de IPs para los eventos de inicio y cierre de sesión. Otros eventos se clasifican como GENERIC_EVENT. Usa patrones grok para analizar el mensaje y mutar los filtros para rellenar los campos de UDM, descartando los eventos que no coincidan con el formato esperado.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google Security Operations.
  • Asegúrate de que usas Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso con privilegios a Dell ECS.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • En Windows, para reiniciar el agente de Bindplane, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Dell ECS para reenviar registros al servidor Syslog

  1. Inicia sesión en el portal de gestión de ECS con credenciales de administrador.
  2. Ve a Configuración > Notificaciones de eventos > Syslog.
  3. Haz clic en Nuevo servidor.
  4. Proporcione los siguientes datos:
    • Protocolo: selecciona UDP o TCP (asegúrate de que coincida con el protocolo configurado en el servidor Syslog).
    • Destino: introduce la dirección IP o el nombre de dominio completo (FQDN) del servidor Syslog.
    • Puerto: introduce el número de puerto.
    • Gravedad: selecciona Informativa como nivel de gravedad mínimo de los registros que se van a reenviar.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
datos read_only_udm.metadata.description Si eventType es UPDATE, la descripción se extrae del campo data mediante una expresión regular. Si eventType es DELETE, la descripción se extrae del campo data mediante una expresión regular y se procesa para extraer el ID de usuario.
datos read_only_udm.principal.ip Si eventType es UPDATE, la dirección IP se extrae del campo data mediante una expresión regular.
datos read_only_udm.target.resource.product_object_id Si eventType es DELETE, el token URN se extrae del campo data mediante una expresión regular.
datos read_only_udm.target.user.userid Si eventType es UPDATE, el ID de usuario se extrae del campo data mediante una expresión regular. Si eventType es DELETE, el ID de usuario se extrae del campo de descripción después del procesamiento inicial del campo data.
eventType read_only_udm.metadata.event_type Si eventType es UPDATE y se extrae un userid, el tipo de evento se define como USER_LOGIN. Si eventType es DELETE y se extrae un userid, el tipo de evento se define como USER_LOGOUT. De lo contrario, el tipo de evento se define como GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type El valor se obtiene concatenando los campos serviceType y eventType del registro sin procesar, entre corchetes y separados por " - ".
nombre de host read_only_udm.principal.asset.hostname El nombre de host se copia del campo hostname.
nombre de host read_only_udm.principal.hostname El nombre de host se copia del campo hostname.
log_type read_only_udm.metadata.log_type El tipo de registro es DELL_ECS. El mecanismo se ha codificado de forma rígida como MECHANISM_UNSPECIFIED. La marca de tiempo del evento se copia del campo timestamp de la entrada de registro sin procesar. El nombre del producto se ha fijado en el código como ECS. El nombre del proveedor está codificado como DELL. Si eventType es DELETE, el tipo de recurso se codifica como CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp La marca de tiempo del evento se toma del campo timestamp de la entrada de registro sin procesar.
timestamp timestamp La marca de tiempo se analiza a partir del campo timestamp de la entrada de registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.