收集 Dell ECS 記錄

支援的國家/地區:

這個剖析器會從 DELL ECS 系統記錄檔訊息中擷取欄位,並對應至 UDM。這個外掛程式專門處理 UPDATEDELETE 事件類型,並擷取登入/登出事件的使用者和 IP 資訊。其他事件則歸類為 GENERIC_EVENT。這項功能會使用 grok 模式剖析訊息,並變更篩選器來填入 UDM 欄位,捨棄格式不符預期的事件。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您具備 Dell ECS 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 在 Linux 中,如要重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 在 Windows 中,如要重新啟動 Bindplane 代理程式,可以使用「服務」主控台,也可以輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

設定 Dell ECS 將記錄檔轉送至系統記錄檔伺服器

  1. 使用管理員憑證登入 ECS 管理入口網站。
  2. 依序前往「設定」>「事件通知」>「系統記錄」
  3. 按一下「新增伺服器」
  4. 請提供下列詳細資料:
    • 通訊協定:選取「UDP」或「TCP」 (請務必與系統記錄伺服器上設定的通訊協定相符)。
    • 目標:輸入 Syslog 伺服器的 IP 位址完整網域名稱 (FQDN)。
    • 「Port」(通訊埠):輸入通訊埠編號
    • 嚴重性:選取「資訊」做為要轉送的記錄最低嚴重程度。
  5. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
資料 read_only_udm.metadata.description 如果 eventTypeUPDATE,系統會使用規則運算式從 data 欄位擷取說明。如果 eventTypeDELETE,系統會使用規則運算式從 data 欄位擷取說明,並進一步處理以擷取使用者 ID。
資料 read_only_udm.principal.ip 如果 eventTypeUPDATE,系統會使用規則運算式從 data 欄位擷取 IP 位址。
資料 read_only_udm.target.resource.product_object_id 如果 eventTypeDELETE,系統會使用規則運算式從 data 欄位擷取 URN 符記。
資料 read_only_udm.target.user.userid 如果 eventTypeUPDATE,系統會使用規則運算式從 data 欄位擷取使用者 ID。如果 eventTypeDELETE,系統會在初步處理 data 欄位後,從說明欄位擷取使用者 ID。
eventType read_only_udm.metadata.event_type 如果 eventTypeUPDATE,且系統已擷取 userid,則事件類型會設為 USER_LOGIN。如果 eventTypeDELETE,且系統已擷取 userid,則事件類型會設為 USER_LOGOUT。否則,事件類型會設為 GENERIC_EVENT
eventType read_only_udm.metadata.product_event_type 這個值是從原始記錄檔串連 serviceTypeeventType 欄位而來,並以方括號括住,以「 - 」分隔。
hostname read_only_udm.principal.asset.hostname 主機名稱是從 hostname 欄位複製而來。
hostname read_only_udm.principal.hostname 主機名稱是從 hostname 欄位複製而來。
log_type read_only_udm.metadata.log_type 記錄類型設為 DELL_ECS。這個機制會硬式編碼為 MECHANISM_UNSPECIFIED。事件時間戳記是從原始記錄項目的「時間戳記」欄位複製而來。產品名稱已硬式編碼為 ECS。供應商名稱會硬式編碼為 DELL。如果 eventTypeDELETE,資源類型會硬式編碼為 CREDENTIAL
時間戳記 read_only_udm.metadata.event_timestamp 事件時間戳記取自原始記錄項目的 timestamp 欄位。
時間戳記 時間戳記 時間戳記是從原始記錄項目的 timestamp 欄位剖析而來。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。