Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Dell ECS

Supportato in:

Google secops SIEM

Questo parser estrae i campi dai messaggi syslog DELL ECS e li mappa a UDM. Gestisce in modo specifico i tipi di eventi UPDATE e DELETE, estraendo le informazioni sull'utente e sull'IP per gli eventi di accesso/disconnessione. Gli altri eventi sono classificati come GENERIC_EVENT. Utilizza i pattern grok per analizzare il messaggio e modificare i filtri per compilare i campi UDM, eliminando gli eventi che non corrispondono al formato previsto.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a Dell ECS.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

In Linux, per riavviare Bindplane Agent, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Dell ECS per inoltrare i log al server syslog

Accedi al portale di gestione ECS utilizzando le credenziali amministrative.
Vai a Impostazioni > Notifiche eventi > Syslog.
Fai clic su Nuovo server.
Fornisci i seguenti dettagli:
- Protocollo: seleziona UDP o TCP (assicurati che corrisponda al protocollo configurato sul server Syslog).
- Destinazione: inserisci l'indirizzo IP o il nome di dominio completo (FQDN) del server Syslog.
- Porta: inserisci il numero di porta.
- Gravità: seleziona Informativo come livello di gravità minimo dei log da inoltrare.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
dati	read_only_udm.metadata.description	Se eventType è UPDATE, la descrizione viene estratta dal campo data utilizzando un'espressione regolare. Se eventType è DELETE, la descrizione viene estratta dal campo data utilizzando un'espressione regolare e ulteriormente elaborata per estrarre l'ID utente.
dati	read_only_udm.principal.ip	Se eventType è UPDATE, l'indirizzo IP viene estratto dal campo data utilizzando un'espressione regolare.
dati	read_only_udm.target.resource.product_object_id	Se eventType è DELETE, il token URN viene estratto dal campo data utilizzando un'espressione regolare.
dati	read_only_udm.target.user.userid	Se eventType è UPDATE, l'ID utente viene estratto dal campo data utilizzando un'espressione regolare. Se eventType è DELETE, l'ID utente viene estratto dal campo della descrizione dopo l'elaborazione iniziale del campo data.
eventType	read_only_udm.metadata.event_type	Se eventType è UPDATE e viene estratto un userid, il tipo di evento viene impostato su USER_LOGIN. Se eventType è DELETE e viene estratto un userid, il tipo di evento viene impostato su USER_LOGOUT. In caso contrario, il tipo di evento viene impostato su GENERIC_EVENT.
eventType	read_only_udm.metadata.product_event_type	Il valore viene derivato concatenando i campi serviceType ed eventType dal log non elaborato, racchiusi tra parentesi quadre e separati da " - ".
hostname	read_only_udm.principal.asset.hostname	Il nome host viene copiato dal campo hostname.
hostname	read_only_udm.principal.hostname	Il nome host viene copiato dal campo hostname.
log_type	read_only_udm.metadata.log_type	Il tipo di log è impostato su DELL_ECS. Il meccanismo è codificato in modo permanente su MECHANISM_UNSPECIFIED. Il timestamp dell'evento viene copiato dal campo timestamp della voce di log non elaborata. Il nome del prodotto è codificato in modo permanente come ECS. Il nome del fornitore è codificato come DELL. Se eventType è DELETE, il tipo di risorsa è codificato in modo permanente su CREDENTIAL.
timestamp	read_only_udm.metadata.event_timestamp	Il timestamp dell'evento viene estratto dal campo timestamp della voce di log non elaborata.
timestamp	timestamp	Il timestamp viene analizzato dal campo timestamp della voce di log non elaborata.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.