Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log NAS Dell EMC Isilon

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log NAS Dell EMC Isilon in Google Security Operations utilizzando Bindplane. Il codice del parser Logstash utilizza innanzitutto i pattern grok per estrarre vari campi come timestamp, indirizzi IP, nomi utente e percorsi dei file dai messaggi syslog DELL_EMC_NAS. Poi, mappa i campi estratti agli attributi corrispondenti all'interno dello schema Unified Data Model (UDM), trasformando in modo efficace i dati dei log non elaborati in un formato strutturato per l'analisi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso privilegiato a Dell EMC Isilon

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nel passaggio 1.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog per OneFS versione 7.x:

Accedi a Dell Isilon utilizzando la CLI.

Attiva il controllo utilizzando i seguenti comandi (sostituisci zone_name con l'host effettivo):

isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Attiva l'inoltro di syslog utilizzando il seguente comando:

isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

Connettiti a un nodo Isilon utilizzando un client SSH.
Apri il file syslog.conf utilizzando vi, che si trova nella directory /etc/mcp/templates.
```
vi syslog.conf
```
Individua la riga !audit_protocol e aggiungi la seguente riga, sostituendo <bindplane-ip> con l'indirizzo IP effettivo dell'agente Bindplane:
```
*.* @<bindplane-ip>
```
Salva il file syslog.conf:
```
```bash
:wq
```
```

Configura Syslog per OneFS versioni 8.0 e 8.1:

Accedi a Dell Isilon utilizzando la CLI.

Attiva il controllo utilizzando i seguenti comandi (sostituisci zone_name con l'host effettivo):

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Attiva l'inoltro di syslog utilizzando il seguente comando:

isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

Connettiti a un nodo Isilon utilizzando un client SSH.
Apri il file syslog.conf utilizzando vi, che si trova nella directory /etc/mcp/templates.
```
vi syslog.conf
```
Individua la riga !audit_protocol e aggiungi la seguente riga, sostituendo <bindplane-ip> con l'indirizzo IP effettivo dell'agente Bindplane:
```
*.* @<bindplane-ip>
```
Salva il file syslog.conf:
```
:wq
```

Configura Syslog per OneFS versioni da 8.2 a 9.4:

Attiva il controllo utilizzando i seguenti comandi (sostituisci <bindplane-ip con l'indirizzo IP dell'agente Bindplane e zone_name con l'host effettivo):

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Attiva l'inoltro di syslog utilizzando il seguente comando:

isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
COMANDO	target.process.command_line	Il campo log non elaborato `COMMAND` è mappato a questo campo UDM.
PWD	target.file.full_path	Il campo dei log non elaborati `PWD` viene mappato a questo campo UDM quando `message` non contiene `command not allowed`.
UTENTE	principal.user.userid	Il campo log non elaborato `USER` è mappato a questo campo UDM.
action_done		Variabile temporanea utilizzata per la logica di analisi.
applicazione	target.application	Il campo log non elaborato `application` è mappato a questo campo UDM.
dati		Questo campo non è mappato a UDM.
description	metadata.description	Il campo log non elaborato `description` è mappato a questo campo UDM. Inoltre, `command not allowed` viene mappato a questo campo quando `message` contiene `command not allowed`.
file_name	target.file.full_path	Il campo log non elaborato `file_name` viene mappato a questo campo UDM dopo aver rimosso eventuali `
intermediary_ip	intermediary.ip	Il campo log non elaborato `intermediary_ip` è mappato a questo campo UDM.
kv_data		Variabile temporanea utilizzata per la logica di analisi.
metodo		Variabile temporanea utilizzata per la logica di analisi.
pid	target.process.pid	Il campo log non elaborato `pid` viene mappato a questo campo UDM quando non è vuoto o `-`.
resource_type	target.resource.type	Il campo log non elaborato `resource_type` è mappato a questo campo UDM.
src_host	principal.hostname	Il campo log non elaborato `src_host` è mappato a questo campo UDM.
src_ip	principal.ip	Il campo log non elaborato `src_ip` è mappato a questo campo UDM. Può anche essere estratto dal campo `description` utilizzando un pattern Grok.
stato		Variabile temporanea utilizzata per la logica di analisi.
ts	metadata.event_timestamp.seconds	Il campo del log non elaborato `ts` viene analizzato e il relativo valore in secondi viene mappato a questo campo UDM.
utente	principal.user.userid	Se `USER` è vuoto, il campo dei log non elaborati `user` viene mappato a questo campo UDM.
wsid	principal.user.windows_sid	Il campo dei log non elaborati `wsid` viene mappato a questo campo UDM dopo aver rimosso tutti i caratteri dopo `
N/D	metadata.event_type	Questo campo UDM viene derivato dalla logica del parser in base ai valori di `action_done`, `method` e `PWD`. Può essere uno dei seguenti: `PROCESS_UNCATEGORIZED`, `PROCESS_OPEN`, `FILE_CREATION`, `FILE_OPEN`, `FILE_DELETION`, `FILE_MODIFICATION`, `FILE_UNCATEGORIZED` o `STATUS_SHUTDOWN` (valore predefinito).
N/D	security_result.action	Questo campo UDM viene derivato dalla logica del parser in base al valore di `status`. Può essere `ALLOW` o `BLOCK`.
N/D	security_result.summary	Questo campo UDM viene derivato dalla logica del parser e compilato con il valore di `action_done`.
N/D	security_result.description	Questo campo UDM viene derivato dalla logica del parser concatenando i valori di `method` e `status` con un separatore `-`.
N/D	metadata.vendor_name	Questo campo UDM è codificato in modo permanente su `DELL`.
N/D	metadata.product_name	Questo campo UDM è codificato in modo permanente su `DELL_EMC_NAS`.
N/D	metadata.log_type	Questo campo UDM è codificato in modo permanente su `DELL_EMC_NAS`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.