Raccogliere i log di Dell EMC Data Domain
Questo documento spiega come importare i log di Dell EMC Data Domain in Google Security Operations utilizzando Bindplane. Il codice del parser Logstash estrae innanzitutto i campi chiave dai log DELL_EMC_DATA_DOMAIN non elaborati utilizzando i pattern grok in base al formato del messaggio di log. Quindi, mappa i campi estratti con i campi corrispondenti nello schema Unified Data Model (UDM), arricchendo i dati con un contesto aggiuntivo, come il tipo di evento e il risultato di sicurezza.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Windows 2016 o versioni successive oppure un host Linux con
systemd - Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
- Accesso con privilegi a Dell EMC Data Domain
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_DATA_DOMAIN' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agentPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare Syslog per Dell EMC Data Domain
- Accedi a Dell EMC Data Domain utilizzando l'interfaccia a riga di comando.
Visualizza la configurazione corrente:
log host showAttiva l'invio di messaggi di log ad altri sistemi:
log host enableAggiungi l'IP dell'agente Bindplane a syslog utilizzando il seguente comando, sostituendo
<bindplane-ip>con l'indirizzo IP effettivo dell'agente Bindplane.log host add <bindplane-ip>Aggiungi la porta dell'agente Bindplane a syslog utilizzando il seguente comando, sostituendo
<bindplane-port>con il numero di porta effettivo dell'agente Bindplane.log server-port set <bindplane-port>
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| app | read_only_udm.target.application | Il valore viene estratto dal campo "app" dal primo parser grok. |
| cmd | read_only_udm.target.process.command_line | Il valore viene estratto dal campo "cmd" dal primo parser grok o dal campo "detail" se il campo "cmd" è vuoto. |
| decr | read_only_udm.metadata.description | Il valore viene estratto dal campo "desc" dal primo parser grok. |
| epoca | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo "epoch" e convertito in un timestamp utilizzando il filtro "date". |
| host | read_only_udm.principal.hostname | Il valore viene estratto dal campo "host" dal primo analizzatore sintattico grok. |
| ID | read_only_udm.metadata.product_event_type | Il valore viene estratto dal campo "id" dal primo parser grok. |
| pid | read_only_udm.target.process.pid | Il valore viene estratto dal campo "pid" dal primo parser grok. |
| motivo | read_only_udm.security_result.description | Il valore viene estratto dal campo "motivo" dal primo analizzatore grok. |
| ruolo | read_only_udm.principal.user.attribute.roles.name | Il valore viene estratto dal campo "role" dal primo parser grok. |
| session_id | read_only_udm.network.session_id | Il valore viene estratto dal campo "session_id" dal primo parser grok. |
| src_ip | read_only_udm.principal.ip | Il valore viene estratto dal campo "src_ip" dal secondo parser grok. |
| src_port | read_only_udm.principal.port | Il valore viene estratto dal campo "src_port" dal secondo parser grok e convertito in un numero intero. |
| timestamp.nanos | read_only_udm.metadata.event_timestamp.nanos | Il valore viene estratto dal campo "timestamp.nanos" del log non elaborato. |
| timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | Il valore viene estratto dal campo "timestamp.seconds" del log non elaborato. |
| utente | read_only_udm.target.user.userid | Il valore viene estratto dal campo "user" dal primo o dal secondo parser grok. |
| read_only_udm.extensions.auth.mechanism | Il valore è impostato su "USERNAME_PASSWORD" se il campo "desc" corrisponde a pattern specifici relativi agli eventi di accesso o disconnessione dell'utente. | |
| read_only_udm.metadata.event_type | Il valore è determinato da una serie di istruzioni condizionali basate sui valori di altri campi, principalmente "desc", "src_ip" e "host". | |
| read_only_udm.metadata.log_type | Codificato come "DELL_EMC_DATA_DOMAIN". | |
| read_only_udm.metadata.product_name | Codificato come "DELL_EMC_DATA_DOMAIN". | |
| read_only_udm.metadata.vendor_name | Codificato in modo permanente su "DELL". | |
| read_only_udm.network.http.method | Il valore viene estratto dal campo "method" estratto dal filtro KV. | |
| read_only_udm.network.http.response_code | Il valore viene estratto dal campo "response_code" dal filtro KV e convertito in un numero intero. | |
| read_only_udm.network.ip_protocol | Il valore viene derivato dal campo "protocol_number_src" utilizzando una tabella di ricerca e la configurazione "parse_ip_protocol.include". | |
| read_only_udm.security_result.severity | Il valore è impostato su "MEDIUM" se il campo "message" contiene la stringa "NOTICE". | |
| read_only_udm.target.file.sha256 | Il valore viene estratto dal campo "sha256" dal secondo parser grok, convertito in minuscolo e convalidato come stringa esadecimale. | |
| read_only_udm.target.process.file.full_path | Il valore viene estratto dal campo "path" o "file", a seconda di quale non è vuoto. | |
| read_only_udm.target.url | Il valore viene estratto dal campo "uri" filtrato dalla coppia chiave-valore. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.