收集 Dell EMC Data Domain 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Dell EMC Data Domain 日志注入到 Google Security Operations。Logstash 解析器代码首先使用基于日志消息格式的 grok 模式从原始 DELL_EMC_DATA_DOMAIN 日志中提取关键字段。然后,它将提取的字段映射到统一数据模型 (UDM) 架构中的相应字段,并使用事件类型和安全结果等其他上下文信息来丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Dell EMC Data Domain 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_DATA_DOMAIN'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为在获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

为 Dell EMC Data Domain 配置 Syslog

  1. 使用 CLI 登录 Dell EMC Data Domain

  2. 显示当前配置:

    log host show

  3. 启用将日志消息发送到其他系统:

    log host enable

  4. 使用以下命令将 Bindplane 代理 IP 添加到 syslog,将 <bindplane-ip> 替换为实际的 Bindplane 代理 IP 地址。

    log host add <bindplane-ip>

  5. 使用以下命令将 Bindplane 代理端口添加到 syslog,将 <bindplane-port> 替换为实际的 Bindplane 代理端口号。

    log server-port set <bindplane-port>

UDM 映射表

日志字段 UDM 映射 逻辑
应用 read_only_udm.target.application 值取自第一个 Grok 解析器提取的“app”字段。
cmd read_only_udm.target.process.command_line 该值取自第一个 grok 解析器提取的“cmd”字段,如果“cmd”字段为空,则取自“detail”字段。
降序 read_only_udm.metadata.description 值取自第一个 Grok 解析器提取的“desc”字段。
周期数 read_only_udm.metadata.event_timestamp.seconds 值取自“epoch”字段,并使用“date”过滤条件转换为时间戳。
主机 read_only_udm.principal.hostname 值取自第一个 Grok 解析器提取的“host”字段。
id read_only_udm.metadata.product_event_type 值取自第一个 grok 解析器提取的“id”字段。
pid read_only_udm.target.process.pid 值取自第一个 grok 解析器提取的“pid”字段。
reason read_only_udm.security_result.description 值取自第一个 grok 解析器提取的“reason”字段。
角色 read_only_udm.principal.user.attribute.roles.name 值取自第一个 Grok 解析器提取的“role”字段。
session_id read_only_udm.network.session_id 值取自第一个 grok 解析器提取的“session_id”字段。
src_ip read_only_udm.principal.ip 值取自第二个 Grok 解析器提取的“src_ip”字段。
src_port read_only_udm.principal.port 值取自第二个 grok 解析器提取的“src_port”字段,并转换为整数。
timestamp.nanos read_only_udm.metadata.event_timestamp.nanos 值取自原始日志的“timestamp.nanos”字段。
timestamp.seconds read_only_udm.metadata.event_timestamp.seconds 值取自原始日志的“timestamp.seconds”字段。
用户 read_only_udm.target.user.userid 值取自第一个或第二个 Grok 解析器提取的“user”字段。
read_only_udm.extensions.auth.mechanism 如果“desc”字段与用户登录或退出事件相关的特定模式匹配,则该值设置为“USERNAME_PASSWORD”。
read_only_udm.metadata.event_type 该值由一系列基于其他字段(主要是“desc”“src_ip”和“host”)值的条件语句确定。
read_only_udm.metadata.log_type 硬编码为“DELL_EMC_DATA_DOMAIN”。
read_only_udm.metadata.product_name 硬编码为“DELL_EMC_DATA_DOMAIN”。
read_only_udm.metadata.vendor_name 硬编码为“DELL”。
read_only_udm.network.http.method 值取自 KV 过滤器提取的“method”字段。
read_only_udm.network.http.response_code 值取自 KV 过滤器提取的“response_code”字段,并转换为整数。
read_only_udm.network.ip_protocol 值是使用查找表和“parse_ip_protocol.include”配置从“protocol_number_src”字段派生的。
read_only_udm.security_result.severity 如果“message”字段包含字符串“NOTICE”,则该值设置为“MEDIUM”。
read_only_udm.target.file.sha256 该值取自第二个 Grok 解析器提取的“sha256”字段,转换为小写,并验证为十六进制字符串。
read_only_udm.target.process.file.full_path 值取自“path”或“file”字段,具体取决于哪个字段不为空。
read_only_udm.target.url 值取自 KV 过滤器提取的“uri”字段。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。