Dell EMC Isilon-NAS-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Dell EMC Isilon NAS-Logs mit Bindplane in Google Security Operations aufnehmen. Im Logstash-Parsercode werden zuerst grok-Muster verwendet, um verschiedene Felder wie Zeitstempel, IP-Adressen, Nutzernamen und Dateipfade aus DELL_EMC_NAS-Syslog-Nachrichten zu extrahieren. Anschließend werden die extrahierten Felder den entsprechenden Attributen im UDM-Schema (Unified Data Model) zugeordnet. So werden Logrohdaten in ein strukturiertes Format für die Analyse umgewandelt.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Windows 2016 oder höher oder ein Linux-Host mit
systemd - Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
- Privilegierter Zugriff auf Dell EMC Isilon
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie im Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
- Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_NAS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog für OneFS Version 7.x konfigurieren:
- Melden Sie sich über die CLI bei Dell Isilon an.
Aktivieren Sie die Überwachung mit den folgenden Befehlen (ersetzen Sie
zone_namedurch den tatsächlichen Host):isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAktivieren Sie die Syslog-Weiterleitung mit dem folgenden Befehl:
isi zone zones modify <zone_name> --syslog-forwarding-enabled=yesStellen Sie mit einem SSH-Client eine Verbindung zu einem Isilon-Knoten her.
Öffnen Sie die Datei
syslog.confmitvi, die sich im Verzeichnis/etc/mcp/templatesbefindet.vi syslog.confSuchen Sie die Zeile
!audit_protocolund fügen Sie die folgende Zeile hinzu. Ersetzen Sie<bindplane-ip>durch die tatsächliche IP-Adresse des Bindplane-Agents:*.* @<bindplane-ip>Speichern Sie die Datei
syslog.conf:```bash :wq ```
Syslog für OneFS-Versionen 8.0 und 8.1 konfigurieren:
- Melden Sie sich über die CLI bei Dell Isilon an.
Aktivieren Sie die Überwachung mit den folgenden Befehlen (ersetzen Sie
zone_namedurch den tatsächlichen Host):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAktivieren Sie die Syslog-Weiterleitung mit dem folgenden Befehl:
isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>Stellen Sie mit einem SSH-Client eine Verbindung zu einem Isilon-Knoten her.
Öffnen Sie die Datei
syslog.confmitvi, die sich im Verzeichnis/etc/mcp/templatesbefindet.vi syslog.confSuchen Sie die Zeile
!audit_protocolund fügen Sie die folgende Zeile hinzu. Ersetzen Sie<bindplane-ip>durch die tatsächliche IP-Adresse des Bindplane-Agents:*.* @<bindplane-ip>Speichern Sie die Datei
syslog.conf::wq
Syslog für OneFS-Versionen 8.2 bis 9.4 konfigurieren:
Aktivieren Sie die Überwachung mit den folgenden Befehlen (ersetzen Sie
<bindplane-ipdurch die IP-Adresse des Bindplane-Agents undzone_namedurch den tatsächlichen Host):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAktivieren Sie die Syslog-Weiterleitung mit dem folgenden Befehl:
isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| COMMAND | target.process.command_line | Das Rohlogfeld COMMAND wird diesem UDM-Feld zugeordnet. |
| PWD | target.file.full_path | Das Rohlogfeld PWD wird diesem UDM-Feld zugeordnet, wenn message nicht command not allowed enthält. |
| NUTZER | principal.user.userid | Das Rohlogfeld USER wird diesem UDM-Feld zugeordnet. |
| action_done | Temporäre Variable für die Parsing-Logik. | |
| Anwendung | target.application | Das Rohlogfeld application wird diesem UDM-Feld zugeordnet. |
| Daten | Dieses Feld ist nicht dem UDM zugeordnet. | |
| description | metadata.description | Das Rohlogfeld description wird diesem UDM-Feld zugeordnet. Außerdem wird command not allowed diesem Feld zugeordnet, wenn message command not allowed enthält. |
| file_name | target.file.full_path | Das Rohlogfeld file_name wird diesem UDM-Feld zugeordnet, nachdem alle ` |
| intermediary_ip | intermediary.ip | Das Rohlogfeld intermediary_ip wird diesem UDM-Feld zugeordnet. |
| kv_data | Temporäre Variable für die Parsing-Logik. | |
| Methode | Temporäre Variable für die Parsing-Logik. | |
| pid | target.process.pid | Das Rohlogfeld pid wird diesem UDM-Feld zugeordnet, wenn es nicht leer oder - ist. |
| Ressourcentyp | target.resource.type | Das Rohlogfeld resource_type wird diesem UDM-Feld zugeordnet. |
| src_host | principal.hostname | Das Rohlogfeld src_host wird diesem UDM-Feld zugeordnet. |
| src_ip | principal.ip | Das Rohlogfeld src_ip wird diesem UDM-Feld zugeordnet. Sie kann auch mit einem Grok-Muster aus dem Feld description extrahiert werden. |
| Status | Temporäre Variable für die Parsing-Logik. | |
| ts | metadata.event_timestamp.seconds | Das Rohlogfeld ts wird geparst und sein Sekundenwert wird diesem UDM-Feld zugeordnet. |
| Nutzer | principal.user.userid | Das Rohlogfeld user wird diesem UDM-Feld zugeordnet, wenn USER leer ist. |
| wsid | principal.user.windows_sid | Das Rohlogfeld wsid wird diesem UDM-Feld zugeordnet, nachdem alle Zeichen nach ` entfernt wurden. |
| – | metadata.event_type | Dieses UDM-Feld wird aus der Parserlogik basierend auf den Werten von action_done, method und PWD abgeleitet. Mögliche Werte: PROCESS_UNCATEGORIZED, PROCESS_OPEN, FILE_CREATION, FILE_OPEN, FILE_DELETION, FILE_MODIFICATION, FILE_UNCATEGORIZED oder STATUS_SHUTDOWN (Standard). |
| – | security_result.action | Dieses UDM-Feld wird aus der Parserlogik basierend auf dem Wert von status abgeleitet. Er kann entweder ALLOW oder BLOCK sein. |
| – | security_result.summary | Dieses UDM-Feld wird aus der Parserlogik abgeleitet und mit dem Wert von action_done gefüllt. |
| – | security_result.description | Dieses UDM-Feld wird aus der Parserlogik abgeleitet, indem die Werte von method und status mit dem Trennzeichen - verkettet werden. |
| – | metadata.vendor_name | Dieses UDM-Feld ist fest auf DELL codiert. |
| – | metadata.product_name | Dieses UDM-Feld ist fest auf DELL_EMC_NAS codiert. |
| – | metadata.log_type | Dieses UDM-Feld ist fest auf DELL_EMC_NAS codiert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten