Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Dell ECS

Compatível com:

Google SecOps SIEM

Esse analisador extrai campos de mensagens de syslog do DELL ECS, mapeando-os para o UDM. Ele processa especificamente os tipos de evento UPDATE e DELETE, extraindo informações de usuário e IP para eventos de login/logout. Outros eventos são categorizados como GENERIC_EVENT. Ele usa padrões grok para analisar a mensagem e mutar filtros para preencher campos da UDM, descartando eventos que não correspondem ao formato esperado.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Dell ECS.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

No Linux, para reiniciar o agente do Bindplane, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
No Windows, para reiniciar o Bindplane Agent, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Dell ECS para encaminhar registros ao servidor syslog

Faça login no portal de gerenciamento do ECS usando credenciais administrativas.
Acesse Configurações > Notificações de eventos > Syslog.
Clique em Novo servidor.
Forneça os seguintes detalhes:
- Protocolo: selecione UDP ou TCP. Verifique se ele corresponde ao protocolo configurado no servidor Syslog.
- Destino: insira o endereço IP ou o nome de domínio totalmente qualificado (FQDN) do servidor Syslog.
- Porta: digite o número da porta.
- Gravidade: selecione Informativo como o nível mínimo de gravidade dos registros a serem encaminhados.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
dados	read_only_udm.metadata.description	Se eventType for UPDATE, a descrição será extraída do campo data usando uma expressão regular. Se eventType for DELETE, a descrição será extraída do campo data usando uma expressão regular e processada para extrair o ID do usuário.
dados	read_only_udm.principal.ip	Se eventType for UPDATE, o endereço IP será extraído do campo data usando uma expressão regular.
dados	read_only_udm.target.resource.product_object_id	Se eventType for DELETE, o token URN será extraído do campo data usando uma expressão regular.
dados	read_only_udm.target.user.userid	Se eventType for UPDATE, o ID do usuário será extraído do campo data usando uma expressão regular. Se eventType for DELETE, o ID do usuário será extraído do campo de descrição após o processamento inicial do campo data.
eventType	read_only_udm.metadata.event_type	Se eventType for UPDATE e um userid for extraído, o tipo de evento será definido como USER_LOGIN. Se eventType for DELETE e um userid for extraído, o tipo de evento será definido como USER_LOGOUT. Caso contrário, o tipo de evento será definido como GENERIC_EVENT.
eventType	read_only_udm.metadata.product_event_type	O valor é derivado da concatenação dos campos serviceType e eventType do registro bruto, entre colchetes e separados por " - ".
hostname	read_only_udm.principal.asset.hostname	O nome do host é copiado do campo hostname.
hostname	read_only_udm.principal.hostname	O nome do host é copiado do campo hostname.
log_type	read_only_udm.metadata.log_type	O tipo de registro é definido como DELL_ECS. O mecanismo é fixado no código como MECHANISM_UNSPECIFIED. O carimbo de data/hora do evento é copiado do campo timestamp da entrada de registro bruta. O nome do produto está fixado no código como ECS. O nome do fornecedor está fixado em DELL. Se eventType for DELETE, o tipo de recurso será codificado como CREDENTIAL.
timestamp	read_only_udm.metadata.event_timestamp	O carimbo de data/hora do evento é extraído do campo timestamp da entrada de registro bruta.
timestamp	timestamp	O carimbo de data/hora é analisado do campo timestamp da entrada de registro bruta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.