Collecter les journaux Dell ECS

Compatible avec :

Cet analyseur extrait les champs des messages syslog DELL ECS et les mappe à l'UDM. Il gère spécifiquement les types d'événements UPDATE et DELETE, en extrayant les informations sur l'utilisateur et l'adresse IP pour les événements de connexion/déconnexion. Les autres événements sont classés dans la catégorie GENERIC_EVENT. Il utilise des modèles Grok pour analyser le message et modifier les filtres afin de remplir les champs UDM, en supprimant les événements qui ne correspondent pas au format attendu.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Dell ECS.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Installation de Windows

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

  • Sous Linux, pour redémarrer l'agent Bindplane, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Sous Windows, pour redémarrer l'agent Bindplane, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Dell ECS pour transférer les journaux vers le serveur Syslog

  1. Connectez-vous au portail de gestion ECS à l'aide d'identifiants d'administrateur.
  2. Accédez à Paramètres> Notifications d'événements> Syslog.
  3. Cliquez sur Nouveau serveur.
  4. Spécifiez les informations suivantes :
    • Protocole : sélectionnez UDP ou TCP (assurez-vous qu'il correspond au protocole configuré sur le serveur Syslog).
    • Cible : saisissez l'adresse IP ou le nom de domaine complet (FQDN) du serveur Syslog.
    • Port : saisissez le numéro de port.
    • Gravité : sélectionnez Informationnel comme niveau de gravité minimal des journaux à transférer.
  5. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
données read_only_udm.metadata.description Si eventType est défini sur UPDATE, la description est extraite du champ data à l'aide d'une expression régulière. Si eventType est défini sur DELETE, la description est extraite du champ data à l'aide d'une expression régulière, puis traitée pour extraire l'ID utilisateur.
données read_only_udm.principal.ip Si eventType est défini sur UPDATE, l'adresse IP est extraite du champ data à l'aide d'une expression régulière.
données read_only_udm.target.resource.product_object_id Si eventType est défini sur DELETE, le jeton URN est extrait du champ data à l'aide d'une expression régulière.
données read_only_udm.target.user.userid Si eventType est défini sur UPDATE, l'ID utilisateur est extrait du champ data à l'aide d'une expression régulière. Si eventType est défini sur DELETE, l'ID utilisateur est extrait du champ de description après le traitement initial du champ data.
eventType read_only_udm.metadata.event_type Si eventType est défini sur UPDATE et qu'un userid est extrait, le type d'événement est défini sur USER_LOGIN. Si eventType est défini sur DELETE et qu'un userid est extrait, le type d'événement est défini sur USER_LOGOUT. Sinon, le type d'événement est défini sur GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type La valeur est obtenue en concaténant les champs serviceType et eventType du journal brut, entre crochets et séparés par " - ".
hostname read_only_udm.principal.asset.hostname Le nom d'hôte est copié à partir du champ hostname.
hostname read_only_udm.principal.hostname Le nom d'hôte est copié à partir du champ hostname.
log_type read_only_udm.metadata.log_type Le type de journal est défini sur DELL_ECS. Le mécanisme est codé en dur sur MECHANISM_UNSPECIFIED. L'horodatage de l'événement est copié à partir du champ timestamp de l'entrée de journal brute. Le nom du produit est codé en dur sur ECS. Le nom du fournisseur est codé en dur sur DELL. Si eventType est défini sur DELETE, le type de ressource est codé en dur sur CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp Le code temporel de l'événement est extrait du champ timestamp de l'entrée de journal brut.
timestamp timestamp L'horodatage est analysé à partir du champ timestamp de l'entrée de journal brute.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.