Mengumpulkan log Dell ECS

Didukung di:

Parser ini mengekstrak kolom dari pesan syslog DELL ECS, memetakannya ke UDM. Fungsi ini menangani jenis peristiwa UPDATE dan DELETE secara khusus, dengan mengekstrak informasi pengguna dan IP untuk peristiwa login/logout. Peristiwa lainnya dikategorikan sebagai GENERIC_EVENT. Proses ini menggunakan pola grok untuk mengurai pesan dan mengubah filter untuk mengisi kolom UDM, serta menghapus peristiwa yang tidak cocok dengan format yang diharapkan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke Dell ECS.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane Agent akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi Penginstalan Tambahan

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Bindplane Agent untuk menerapkan perubahan

  • Di Linux, untuk memulai ulang Agen Bindplane, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Di Windows, untuk memulai ulang Bindplane Agent, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Dell ECS untuk Meneruskan Log ke Server Syslog

  1. Login ke portal pengelolaan ECS menggunakan kredensial administratif.
  2. Buka Setelan > Notifikasi Acara > Syslog.
  3. Klik Server Baru.
  4. Berikan detail berikut:
    • Protocol: pilih UDP atau TCP (pastikan protokolnya cocok dengan protokol yang dikonfigurasi di server Syslog).
    • Target: masukkan alamat IP atau Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) server Syslog.
    • Port: masukkan nomor port.
    • Tingkat keparahan: pilih Informasi sebagai tingkat keparahan minimum log yang akan diteruskan.
  5. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
data read_only_udm.metadata.description Jika eventType adalah UPDATE, deskripsi diekstrak dari kolom data menggunakan ekspresi reguler. Jika eventType adalah DELETE, deskripsi diekstrak dari kolom data menggunakan ekspresi reguler dan diproses lebih lanjut untuk mengekstrak ID pengguna.
data read_only_udm.principal.ip Jika eventType adalah UPDATE, alamat IP diekstrak dari kolom data menggunakan ekspresi reguler.
data read_only_udm.target.resource.product_object_id Jika eventType adalah DELETE, token URN diekstrak dari kolom data menggunakan ekspresi reguler.
data read_only_udm.target.user.userid Jika eventType adalah UPDATE, ID pengguna diekstrak dari kolom data menggunakan ekspresi reguler. Jika eventType adalah DELETE, ID pengguna akan diekstrak dari kolom deskripsi setelah pemrosesan awal kolom data.
eventType read_only_udm.metadata.event_type Jika eventType adalah UPDATE dan userid diekstrak, jenis peristiwa akan ditetapkan ke USER_LOGIN. Jika eventType adalah DELETE dan userid diekstrak, jenis peristiwa akan ditetapkan ke USER_LOGOUT. Jika tidak, jenis peristiwa akan ditetapkan ke GENERIC_EVENT.
eventType read_only_udm.metadata.product_event_type Nilai ini diperoleh dengan menggabungkan kolom serviceType dan eventType dari log mentah, yang diapit dalam tanda kurung siku dan dipisahkan oleh " - ".
hostname read_only_udm.principal.asset.hostname Nama host disalin dari kolom hostname.
hostname read_only_udm.principal.hostname Nama host disalin dari kolom hostname.
log_type read_only_udm.metadata.log_type Jenis log ditetapkan ke DELL_ECS. Mekanisme di-hardcode ke MECHANISM_UNSPECIFIED. Stempel waktu peristiwa disalin dari kolom timestamp entri log mentah. Nama produk di-hardcode menjadi ECS. Nama vendor di-hardcode menjadi DELL. Jika eventType adalah DELETE, jenis resource dikodekan secara permanen ke CREDENTIAL.
timestamp read_only_udm.metadata.event_timestamp Stempel waktu peristiwa diambil dari kolom timestamp entri log mentah.
timestamp timestamp Stempel waktu diuraikan dari kolom timestamp entri log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.