收集 Dell ECS 日志
支持的语言:
Google SecOps
SIEM
此解析器会从 DELL ECS syslog 消息中提取字段,并将它们映射到 UDM。它专门处理 UPDATE 和 DELETE 事件类型,提取登录/退出事件的用户和 IP 信息。其他事件归类为 GENERIC_EVENT。它使用 grok 模式来解析消息和变异过滤条件,以填充 UDM 字段,并舍弃不符合预期格式的事件。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有对 Dell ECS 的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: dell_ecs raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
在 Linux 中,如需重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent在 Windows 中,如需重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Dell ECS 以将日志转发到 Syslog 服务器
- 使用管理凭据登录 ECS 管理门户。
- 依次前往设置 > 事件通知 > Syslog。
- 点击 New Server。
- 提供以下详细信息:
- 协议:选择 UDP 或 TCP(确保它与 Syslog 服务器上配置的协议一致)。
- 目标:输入 Syslog 服务器的 IP 地址或完全限定域名 (FQDN)。
- 端口:输入端口号。
- 严重程度:选择信息作为要转发的日志的最低严重程度。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 数据 | read_only_udm.metadata.description | 如果 eventType 为 UPDATE,则使用正则表达式从 data 字段中提取说明。如果 eventType 为 DELETE,则使用正则表达式从 data 字段中提取说明,并进一步处理以提取用户 ID。 |
| 数据 | read_only_udm.principal.ip | 如果 eventType 为 UPDATE,则使用正则表达式从 data 字段中提取 IP 地址。 |
| 数据 | read_only_udm.target.resource.product_object_id | 如果 eventType 为 DELETE,则使用正则表达式从 data 字段中提取 URN 令牌。 |
| 数据 | read_only_udm.target.user.userid | 如果 eventType 为 UPDATE,则使用正则表达式从 data 字段中提取用户 ID。如果 eventType 为 DELETE,则在对 data 字段进行初始处理后,从说明字段中提取用户 ID。 |
| eventType | read_only_udm.metadata.event_type | 如果 eventType 为 UPDATE 且提取了 userid,则将事件类型设置为 USER_LOGIN。如果 eventType 为 DELETE 且提取了 userid,则将事件类型设置为 USER_LOGOUT。否则,事件类型将设置为 GENERIC_EVENT。 |
| eventType | read_only_udm.metadata.product_event_type | 该值是通过将原始日志中的 serviceType 和 eventType 字段串联起来得到的,并用方括号括起来,以“ - ”分隔。 |
| 主机名 | read_only_udm.principal.asset.hostname | 主机名是从主机名字段复制的。 |
| 主机名 | read_only_udm.principal.hostname | 主机名是从主机名字段复制的。 |
| log_type | read_only_udm.metadata.log_type | 日志类型设置为 DELL_ECS。该机制已硬编码为 MECHANISM_UNSPECIFIED。事件时间戳是从原始日志条目的 timestamp 字段复制的。产品名称已硬编码为 ECS。供应商名称已硬编码为 DELL。如果 eventType 为 DELETE,则资源类型会硬编码为 CREDENTIAL。 |
| 时间戳 | read_only_udm.metadata.event_timestamp | 事件时间戳取自原始日志条目的 timestamp 字段。 |
| 时间戳 | 时间戳 | 时间戳是从原始日志条目的 timestamp 字段解析出来的。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。