Mengumpulkan log NAS Dell EMC Isilon

Didukung di:

Dokumen ini menjelaskan cara menyerap log NAS Dell EMC Isilon ke Google Security Operations menggunakan Bindplane. Kode parser Logstash pertama-tama menggunakan pola grok untuk mengekstrak berbagai kolom seperti stempel waktu, alamat IP, nama pengguna, dan jalur file dari pesan syslog DELL_EMC_NAS. Kemudian, kolom yang diekstrak dipetakan ke atribut yang sesuai dalam skema Model Data Terpadu (UDM), sehingga secara efektif mengubah data log mentah menjadi format terstruktur untuk analisis.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika dijalankan di belakang proxy, port firewall terbuka
  • Akses istimewa ke Dell EMC Isilon

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:
    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di Langkah 1.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog untuk OneFS Versi 7.x:

  1. Login ke Dell Isilon menggunakan CLI.

  2. Aktifkan audit menggunakan perintah berikut (ganti zone_name dengan host sebenarnya):

    isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. Aktifkan penerusan syslog menggunakan perintah berikut:

    isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

  4. Hubungkan ke node Isilon menggunakan klien SSH.

  5. Buka file syslog.conf menggunakan vi, yang berada di direktori /etc/mcp/templates.

    vi syslog.conf

  6. Temukan baris !audit_protocol dan tambahkan baris berikut, ganti <bindplane-ip> dengan alamat IP agen Bindplane yang sebenarnya:

    *.* @<bindplane-ip>

  7. Simpan file syslog.conf:

    ```bash
:wq
```

Mengonfigurasi Syslog untuk OneFS Versi 8.0 dan 8.1:

  1. Login ke Dell Isilon menggunakan CLI.

  2. Aktifkan audit menggunakan perintah berikut (ganti zone_name dengan host sebenarnya):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. Aktifkan penerusan syslog menggunakan perintah berikut:

    isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

  4. Hubungkan ke node Isilon menggunakan klien SSH.

  5. Buka file syslog.conf menggunakan vi, yang berada di direktori /etc/mcp/templates.

    vi syslog.conf

  6. Temukan baris !audit_protocol dan tambahkan baris berikut, ganti <bindplane-ip> dengan alamat IP BindPlane Agent yang sebenarnya:

    *.* @<bindplane-ip>

  7. Simpan file syslog.conf:

    :wq

Mengonfigurasi Syslog untuk OneFS Versi 8.2 hingga 9.4:

  1. Aktifkan audit menggunakan perintah berikut (ganti <bindplane-ip dengan alamat IP agen Bindplane dan zone_name dengan host sebenarnya):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  2. Aktifkan penerusan syslog menggunakan perintah berikut:

    isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
PERINTAH target.process.command_line Kolom log mentah COMMAND dipetakan ke kolom UDM ini.
PWD target.file.full_path Kolom log mentah PWD dipetakan ke kolom UDM ini jika message tidak berisi command not allowed.
PENGGUNA principal.user.userid Kolom log mentah USER dipetakan ke kolom UDM ini.
action_done Variabel sementara yang digunakan untuk logika parsing.
application target.application Kolom log mentah application dipetakan ke kolom UDM ini.
data Kolom ini tidak dipetakan ke UDM.
deskripsi metadata.description Kolom log mentah description dipetakan ke kolom UDM ini. Selain itu, command not allowed dipetakan ke kolom ini saat message berisi command not allowed.
file_name target.file.full_path Kolom log mentah file_name dipetakan ke kolom UDM ini setelah menghapus `
intermediary_ip intermediary.ip Kolom log mentah intermediary_ip dipetakan ke kolom UDM ini.
kv_data Variabel sementara yang digunakan untuk logika parsing.
metode Variabel sementara yang digunakan untuk logika parsing.
pid target.process.pid Kolom log mentah pid dipetakan ke kolom UDM ini jika tidak kosong atau -.
resource_type target.resource.type Kolom log mentah resource_type dipetakan ke kolom UDM ini.
src_host principal.hostname Kolom log mentah src_host dipetakan ke kolom UDM ini.
src_ip principal.ip Kolom log mentah src_ip dipetakan ke kolom UDM ini. ID ini juga dapat diekstrak dari kolom description menggunakan pola Grok.
status Variabel sementara yang digunakan untuk logika parsing.
ts metadata.event_timestamp.seconds Kolom log mentah ts diuraikan dan nilai detiknya dipetakan ke kolom UDM ini.
pengguna principal.user.userid Kolom log mentah user dipetakan ke kolom UDM ini jika USER kosong.
wsid principal.user.windows_sid Kolom log mentah wsid dipetakan ke kolom UDM ini setelah menghapus karakter apa pun setelah `
T/A metadata.event_type Kolom UDM ini berasal dari logika parser berdasarkan nilai action_done, method, dan PWD. Nilainya dapat berupa salah satu dari berikut: PROCESS_UNCATEGORIZED, PROCESS_OPEN, FILE_CREATION, FILE_OPEN, FILE_DELETION, FILE_MODIFICATION, FILE_UNCATEGORIZED, atau STATUS_SHUTDOWN (default).
T/A security_result.action Kolom UDM ini berasal dari logika parser berdasarkan nilai status. Saluran biru tersebut bisa jadi ALLOW atau BLOCK.
T/A security_result.summary Kolom UDM ini berasal dari logika parser dan diisi dengan nilai action_done.
T/A security_result.description Kolom UDM ini berasal dari logika parser dengan menggabungkan nilai method dan status dengan pemisah -.
T/A metadata.vendor_name Kolom UDM ini di-hardcode menjadi DELL.
T/A metadata.product_name Kolom UDM ini di-hardcode menjadi DELL_EMC_NAS.
T/A metadata.log_type Kolom UDM ini di-hardcode menjadi DELL_EMC_NAS.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.