Coletar registros do Dell EMC Data Domain

Compatível com:

Este documento explica como ingerir registros do Dell EMC Data Domain no Google Security Operations usando o Bindplane. O código do analisador do Logstash primeiro extrai campos-chave dos registros brutos DELL_EMC_DATA_DOMAIN usando padrões grok com base no formato da mensagem de registro. Em seguida, ele mapeia os campos extraídos para os campos correspondentes no esquema do modelo de dados unificado (UDM), enriquecendo os dados com contexto adicional, como tipo de evento e resultado de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao Dell EMC Data Domain

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'DELL_EMC_DATA_DOMAIN'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o Syslog para o Dell EMC Data Domain

  1. Faça login no Dell EMC Data Domain usando a CLI.
  2. Mostre a configuração atual:

    log host show
    
  3. Ative o envio de mensagens de registro para outros sistemas:

    log host enable
    
  4. Adicione o IP do agente do Bindplane ao syslog usando o seguinte comando. Substitua <bindplane-ip> pelo endereço IP real do agente do Bindplane.

    log host add <bindplane-ip>
    
  5. Adicione a porta do agente Bindplane ao syslog usando o seguinte comando. Substitua <bindplane-port> pelo número da porta do agente Bindplane.

    log server-port set <bindplane-port>
    

Tabela de mapeamento da UDM

Campo de registro Mapeamento da UDM Lógica
app read_only_udm.target.application O valor é extraído do campo "app" pelo primeiro analisador grok.
cmd read_only_udm.target.process.command_line O valor é extraído do campo "cmd" pelo primeiro analisador grok ou do campo "detail" se o campo "cmd" estiver vazio.
desc read_only_udm.metadata.description O valor é extraído do campo "desc" pelo primeiro analisador grok.
época read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "epoch" e convertido em um carimbo de data/hora usando o filtro "date".
host read_only_udm.principal.hostname O valor é extraído do campo "host" pelo primeiro analisador grok.
ID read_only_udm.metadata.product_event_type O valor é extraído do campo "id" pelo primeiro analisador grok.
pid read_only_udm.target.process.pid O valor é extraído do campo "pid" pelo primeiro analisador grok.
reason read_only_udm.security_result.description O valor é extraído do campo "reason" pelo primeiro analisador grok.
papel read_only_udm.principal.user.attribute.roles.name O valor é extraído do campo "role" pelo primeiro analisador grok.
session_id read_only_udm.network.session_id O valor é extraído do campo "session_id" pelo primeiro analisador grok.
src_ip read_only_udm.principal.ip O valor é extraído do campo "src_ip" pelo segundo analisador grok.
src_port read_only_udm.principal.port O valor é extraído do campo "src_port" pelo segundo analisador grok e convertido em um número inteiro.
timestamp.nanos read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "timestamp.nanos" do registro bruto.
timestamp.seconds read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "timestamp.seconds" do registro bruto.
usuário read_only_udm.target.user.userid O valor é extraído do campo "user" pelo primeiro ou segundo analisador grok.
read_only_udm.extensions.auth.mechanism O valor é definido como "USERNAME_PASSWORD" se o campo "desc" corresponder a padrões específicos relacionados a eventos de login ou logout do usuário.
read_only_udm.metadata.event_type O valor é determinado por uma série de instruções condicionais com base nos valores de outros campos, principalmente "desc", "src_ip" e "host".
read_only_udm.metadata.log_type Codificado como "DELL_EMC_DATA_DOMAIN".
read_only_udm.metadata.product_name Codificado como "DELL_EMC_DATA_DOMAIN".
read_only_udm.metadata.vendor_name Codificado como "DELL".
read_only_udm.network.http.method O valor é extraído do campo "method" extraído pelo filtro de KV.
read_only_udm.network.http.response_code O valor é extraído do campo "response_code" pelo filtro de KV e convertido em um número inteiro.
read_only_udm.network.ip_protocol O valor é derivado do campo "protocol_number_src" usando uma tabela de pesquisa e a configuração "parse_ip_protocol.include".
read_only_udm.security_result.severity O valor é definido como "MEDIUM" se o campo "message" contiver a string "NOTICE".
read_only_udm.target.file.sha256 O valor é extraído do campo "sha256" pelo segundo analisador grok, convertido para letras minúsculas e validado como uma string hexadecimal.
read_only_udm.target.process.file.full_path O valor é extraído do campo "path" ou "file", dependendo de qual deles não está vazio.
read_only_udm.target.url O valor é extraído do campo "uri" pelo filtro de KV.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.