Coletar registros do Dell EMC Data Domain
Este documento explica como ingerir registros do Dell EMC Data Domain no Google Security Operations usando o Bindplane. O código do analisador do Logstash primeiro extrai campos-chave dos registros brutos DELL_EMC_DATA_DOMAIN usando padrões grok com base no formato da mensagem de registro. Em seguida, ele mapeia os campos extraídos para os campos correspondentes no esquema do modelo de dados unificado (UDM), enriquecendo os dados com contexto adicional, como tipo de evento e resultado de segurança.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Windows 2016 ou mais recente ou um host Linux com
systemd
- Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
- Acesso privilegiado ao Dell EMC Data Domain
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele fica no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_DATA_DOMAIN' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agent
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog para o Dell EMC Data Domain
- Faça login no Dell EMC Data Domain usando a CLI.
Mostre a configuração atual:
log host show
Ative o envio de mensagens de registro para outros sistemas:
log host enable
Adicione o IP do agente do Bindplane ao syslog usando o seguinte comando. Substitua
<bindplane-ip>
pelo endereço IP real do agente do Bindplane.log host add <bindplane-ip>
Adicione a porta do agente Bindplane ao syslog usando o seguinte comando. Substitua
<bindplane-port>
pelo número da porta do agente Bindplane.log server-port set <bindplane-port>
Tabela de mapeamento da UDM
Campo de registro | Mapeamento da UDM | Lógica |
---|---|---|
app | read_only_udm.target.application | O valor é extraído do campo "app" pelo primeiro analisador grok. |
cmd | read_only_udm.target.process.command_line | O valor é extraído do campo "cmd" pelo primeiro analisador grok ou do campo "detail" se o campo "cmd" estiver vazio. |
desc | read_only_udm.metadata.description | O valor é extraído do campo "desc" pelo primeiro analisador grok. |
época | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo "epoch" e convertido em um carimbo de data/hora usando o filtro "date". |
host | read_only_udm.principal.hostname | O valor é extraído do campo "host" pelo primeiro analisador grok. |
ID | read_only_udm.metadata.product_event_type | O valor é extraído do campo "id" pelo primeiro analisador grok. |
pid | read_only_udm.target.process.pid | O valor é extraído do campo "pid" pelo primeiro analisador grok. |
reason | read_only_udm.security_result.description | O valor é extraído do campo "reason" pelo primeiro analisador grok. |
papel | read_only_udm.principal.user.attribute.roles.name | O valor é extraído do campo "role" pelo primeiro analisador grok. |
session_id | read_only_udm.network.session_id | O valor é extraído do campo "session_id" pelo primeiro analisador grok. |
src_ip | read_only_udm.principal.ip | O valor é extraído do campo "src_ip" pelo segundo analisador grok. |
src_port | read_only_udm.principal.port | O valor é extraído do campo "src_port" pelo segundo analisador grok e convertido em um número inteiro. |
timestamp.nanos | read_only_udm.metadata.event_timestamp.nanos | O valor é extraído do campo "timestamp.nanos" do registro bruto. |
timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | O valor é extraído do campo "timestamp.seconds" do registro bruto. |
usuário | read_only_udm.target.user.userid | O valor é extraído do campo "user" pelo primeiro ou segundo analisador grok. |
read_only_udm.extensions.auth.mechanism | O valor é definido como "USERNAME_PASSWORD" se o campo "desc" corresponder a padrões específicos relacionados a eventos de login ou logout do usuário. | |
read_only_udm.metadata.event_type | O valor é determinado por uma série de instruções condicionais com base nos valores de outros campos, principalmente "desc", "src_ip" e "host". | |
read_only_udm.metadata.log_type | Codificado como "DELL_EMC_DATA_DOMAIN". | |
read_only_udm.metadata.product_name | Codificado como "DELL_EMC_DATA_DOMAIN". | |
read_only_udm.metadata.vendor_name | Codificado como "DELL". | |
read_only_udm.network.http.method | O valor é extraído do campo "method" extraído pelo filtro de KV. | |
read_only_udm.network.http.response_code | O valor é extraído do campo "response_code" pelo filtro de KV e convertido em um número inteiro. | |
read_only_udm.network.ip_protocol | O valor é derivado do campo "protocol_number_src" usando uma tabela de pesquisa e a configuração "parse_ip_protocol.include". | |
read_only_udm.security_result.severity | O valor é definido como "MEDIUM" se o campo "message" contiver a string "NOTICE". | |
read_only_udm.target.file.sha256 | O valor é extraído do campo "sha256" pelo segundo analisador grok, convertido para letras minúsculas e validado como uma string hexadecimal. | |
read_only_udm.target.process.file.full_path | O valor é extraído do campo "path" ou "file", dependendo de qual deles não está vazio. | |
read_only_udm.target.url | O valor é extraído do campo "uri" pelo filtro de KV. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.