Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Dell EMC Data Domain

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Dell EMC Data Domain ke Google Security Operations menggunakan BindPlane. Kode parser Logstash pertama-tama mengekstrak kolom utama dari log DELL_EMC_DATA_DOMAIN mentah menggunakan pola grok berdasarkan format pesan log. Kemudian, kolom yang diekstrak dipetakan ke kolom yang sesuai dalam skema Model Data Terpadu (UDM), sehingga memperkaya data dengan konteks tambahan seperti jenis peristiwa dan hasil keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Dell EMC Data Domain

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_DATA_DOMAIN'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Dell EMC Data Domain

Login ke Dell EMC Data Domain menggunakan CLI.
Menampilkan konfigurasi saat ini:
```
log host show
```
Mengaktifkan pengiriman pesan log ke sistem lain:
```
log host enable
```
Tambahkan IP agen Bindplane ke syslog menggunakan perintah berikut, ganti <bindplane-ip> dengan alamat IP agen Bindplane yang sebenarnya.
```
log host add <bindplane-ip>
```
Tambahkan port agen Bindplane ke syslog menggunakan perintah berikut, ganti <bindplane-port> dengan nomor port agen Bindplane yang sebenarnya.
```
log server-port set <bindplane-port>
```

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
aplikasi	read_only_udm.target.application	Nilai diambil dari kolom 'app' yang diekstrak oleh parser grok pertama.
cmd	read_only_udm.target.process.command_line	Nilai diambil dari kolom 'cmd' yang diekstrak oleh parser grok pertama, atau dari kolom 'detail' jika kolom 'cmd' kosong.
menurun	read_only_udm.metadata.description	Nilai diambil dari kolom 'desc' yang diekstrak oleh parser grok pertama.
epoch	read_only_udm.metadata.event_timestamp.seconds	Nilai diambil dari kolom 'epoch' dan dikonversi menjadi stempel waktu menggunakan filter 'date'.
host	read_only_udm.principal.hostname	Nilai diambil dari kolom 'host' yang diekstrak oleh parser grok pertama.
id	read_only_udm.metadata.product_event_type	Nilai diambil dari kolom 'id' yang diekstrak oleh parser grok pertama.
pid	read_only_udm.target.process.pid	Nilai diambil dari kolom 'pid' yang diekstrak oleh parser grok pertama.
alasan	read_only_udm.security_result.description	Nilai diambil dari kolom 'reason' yang diekstrak oleh parser grok pertama.
peran	read_only_udm.principal.user.attribute.roles.name	Nilai diambil dari kolom 'role' yang diekstrak oleh parser grok pertama.
session_id	read_only_udm.network.session_id	Nilai diambil dari kolom 'session_id' yang diekstrak oleh parser grok pertama.
src_ip	read_only_udm.principal.ip	Nilai diambil dari kolom 'src_ip' yang diekstrak oleh parser grok kedua.
src_port	read_only_udm.principal.port	Nilai diambil dari kolom 'src_port' yang diekstrak oleh parser grok kedua dan dikonversi menjadi bilangan bulat.
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	Nilai diambil dari kolom 'timestamp.nanos' log mentah.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Nilai diambil dari kolom 'timestamp.seconds' log mentah.
pengguna	read_only_udm.target.user.userid	Nilai diambil dari kolom 'pengguna' yang diekstrak oleh parser grok pertama atau kedua.
	read_only_udm.extensions.auth.mechanism	Nilai ditetapkan ke "USERNAME_PASSWORD" jika kolom 'desc' cocok dengan pola tertentu yang terkait dengan peristiwa login atau logout pengguna.
	read_only_udm.metadata.event_type	Nilai ditentukan oleh serangkaian pernyataan bersyarat berdasarkan nilai kolom lain, terutama 'desc', 'src_ip', dan 'host'.
	read_only_udm.metadata.log_type	Dikodekan secara permanen ke "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.product_name	Dikodekan secara permanen ke "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.vendor_name	Dikodekan secara permanen ke "DELL".
	read_only_udm.network.http.method	Nilai diambil dari kolom 'method' yang diekstrak oleh filter KV.
	read_only_udm.network.http.response_code	Nilai diambil dari kolom 'response_code' yang diekstrak oleh filter KV dan dikonversi menjadi bilangan bulat.
	read_only_udm.network.ip_protocol	Nilai diperoleh dari kolom 'protocol_number_src' menggunakan tabel lookup dan konfigurasi 'parse_ip_protocol.include'.
	read_only_udm.security_result.severity	Nilai ditetapkan ke "MEDIUM" jika kolom 'message' berisi string "NOTICE".
	read_only_udm.target.file.sha256	Nilai diambil dari kolom 'sha256' yang diekstrak oleh parser grok kedua, dikonversi ke huruf kecil, dan divalidasi sebagai string heksadesimal.
	read_only_udm.target.process.file.full_path	Nilai diambil dari kolom 'path' atau 'file', bergantung pada mana yang tidak kosong.
	read_only_udm.target.url	Nilai diambil dari kolom 'uri' yang diekstrak oleh filter KV.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.