Collecter les journaux Dell EMC Isilon NAS
Ce document explique comment ingérer des journaux Dell EMC Isilon NAS dans Google Security Operations à l'aide de Bindplane. Le code du parseur Logstash utilise d'abord des modèles grok pour extraire différents champs tels que les codes temporels, les adresses IP, les noms d'utilisateur et les chemins d'accès aux fichiers à partir des messages syslog DELL_EMC_NAS. Il mappe ensuite les champs extraits aux attributs correspondants dans le schéma UDM (Unified Data Model), ce qui transforme efficacement les données de journaux brutes en un format structuré pour l'analyse.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Instance Google SecOps
- Windows 2016 ou version ultérieure, ou un hôte Linux avec
systemd - Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
- Accès privilégié à Dell EMC Isilon
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_NAS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsRemplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez
<customer_id>par le numéro client réel.Remplacez
/path/to/ingestion-authentication-file.jsonpar le chemin d'accès où le fichier d'authentification a été enregistré à l'étape 1.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer Syslog pour OneFS version 7.x :
- Connectez-vous à Dell Isilon à l'aide de la CLI.
Activez l'audit à l'aide des commandes suivantes (remplacez
zone_namepar l'hôte réel) :isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeActivez le transfert syslog à l'aide de la commande suivante :
isi zone zones modify <zone_name> --syslog-forwarding-enabled=yesConnectez-vous à un nœud Isilon à l'aide d'un client SSH.
Ouvrez le fichier
syslog.confà l'aide devi, qui se trouve dans le répertoire/etc/mcp/templates.vi syslog.confRecherchez la ligne
!audit_protocolet ajoutez-y la ligne suivante, en remplaçant<bindplane-ip>par l'adresse IP réelle de l'agent Bindplane :*.* @<bindplane-ip>Enregistrez le fichier
syslog.conf:```bash :wq ```
Configurer Syslog pour les versions 8.0 et 8.1 de OneFS :
- Connectez-vous à Dell Isilon à l'aide de la CLI.
Activez l'audit à l'aide des commandes suivantes (remplacez
zone_namepar l'hôte réel) :isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeActivez le transfert syslog à l'aide de la commande suivante :
isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>Connectez-vous à un nœud Isilon à l'aide d'un client SSH.
Ouvrez le fichier
syslog.confà l'aide devi, qui se trouve dans le répertoire/etc/mcp/templates.vi syslog.confRecherchez la ligne
!audit_protocolet ajoutez-y la ligne suivante, en remplaçant<bindplane-ip>par l'adresse IP réelle de l'agent Bindplane :*.* @<bindplane-ip>Enregistrez le fichier
syslog.conf::wq
Configurer Syslog pour les versions 8.2 à 9.4 de OneFS :
Activez l'audit à l'aide des commandes suivantes (remplacez
<bindplane-ippar l'adresse IP de l'agent Bindplane etzone_namepar l'hôte réel) :isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeActivez le transfert syslog à l'aide de la commande suivante :
isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| COMMAND | target.process.command_line | Le champ de journal brut COMMAND est mappé à ce champ UDM. |
| PWD | target.file.full_path | Le champ de journal brut PWD est mappé sur ce champ UDM lorsque message ne contient pas command not allowed. |
| UTILISATEUR | principal.user.userid | Le champ de journal brut USER est mappé à ce champ UDM. |
| action_done | Variable temporaire utilisée pour la logique d'analyse. | |
| application | target.application | Le champ de journal brut application est mappé à ce champ UDM. |
| données | Ce champ n'est pas mappé sur l'UDM. | |
| description | metadata.description | Le champ de journal brut description est mappé à ce champ UDM. De plus, command not allowed est mappé à ce champ lorsque message contient command not allowed. |
| file_name | target.file.full_path | Le champ de journal brut file_name est mappé sur ce champ UDM après suppression de tout caractère ` |
| intermediary_ip | intermediary.ip | Le champ de journal brut intermediary_ip est mappé à ce champ UDM. |
| kv_data | Variable temporaire utilisée pour la logique d'analyse. | |
| méthode | Variable temporaire utilisée pour la logique d'analyse. | |
| pid | target.process.pid | Le champ de journal brut pid est mappé sur ce champ UDM lorsqu'il n'est pas vide ni -. |
| resource_type | target.resource.type | Le champ de journal brut resource_type est mappé à ce champ UDM. |
| src_host | principal.hostname | Le champ de journal brut src_host est mappé à ce champ UDM. |
| src_ip | principal.ip | Le champ de journal brut src_ip est mappé à ce champ UDM. Il peut également être extrait du champ description à l'aide d'un modèle Grok. |
| état | Variable temporaire utilisée pour la logique d'analyse. | |
| ts | metadata.event_timestamp.seconds | Le champ de journal brut ts est analysé et sa valeur en secondes est mappée sur ce champ UDM. |
| utilisateur | principal.user.userid | Le champ de journal brut user est mappé sur ce champ UDM si USER est vide. |
| wsid | principal.user.windows_sid | Le champ de journal brut wsid est mappé sur ce champ UDM après suppression de tous les caractères après ` |
| N/A | metadata.event_type | Ce champ UDM est dérivé de la logique de l'analyseur en fonction des valeurs de action_done, method et PWD. Il peut s'agir de l'une des valeurs suivantes : PROCESS_UNCATEGORIZED, PROCESS_OPEN, FILE_CREATION, FILE_OPEN, FILE_DELETION, FILE_MODIFICATION, FILE_UNCATEGORIZED ou STATUS_SHUTDOWN (par défaut). |
| N/A | security_result.action | Ce champ UDM est dérivé de la logique de l'analyseur en fonction de la valeur de status. ALLOW soit BLOCK. |
| N/A | security_result.summary | Ce champ UDM est dérivé de la logique du parseur et renseigné avec la valeur de action_done. |
| N/A | security_result.description | Ce champ UDM est dérivé de la logique du parseur en concaténant les valeurs de method et status avec un séparateur -. |
| N/A | metadata.vendor_name | Ce champ UDM est codé en dur sur DELL. |
| N/A | metadata.product_name | Ce champ UDM est codé en dur sur DELL_EMC_NAS. |
| N/A | metadata.log_type | Ce champ UDM est codé en dur sur DELL_EMC_NAS. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.