Dell EMC Isilon NAS ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Dell EMC Isilon NAS ログを Google Security Operations に取り込む方法について説明します。Logstash パーサーコードは、まず grok パターンを使用して、DELL_EMC_NAS syslog メッセージからタイムスタンプ、IP アドレス、ユーザー名、ファイルパスなどのさまざまなフィールドを抽出します。次に、抽出されたフィールドを Unified Data Model(UDM)スキーマ内の対応する属性にマッピングし、未加工のログデータを分析用の構造化された形式に効果的に変換します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Dell EMC Isilon への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際の顧客 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、ステップ 1 で認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

OneFS バージョン 7.x の Syslog を構成します。

  1. CLI を使用して Dell Isilon にログインします。

  2. 次のコマンドを使用して監査を有効にします(zone_name は実際のホストに置き換えます)。

    isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 次のコマンドを使用して syslog 転送を有効にします。

    isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

  4. SSH クライアントを使用して Isilon ノードに接続します。

  5. /etc/mcp/templates ディレクトリにある vi を使用して syslog.conf ファイルを開きます。

    vi syslog.conf

  6. !audit_protocol 行を見つけ、次の行を追加します。<bindplane-ip> は実際の Bindplane エージェントの IP アドレスに置き換えます。

    *.* @<bindplane-ip>

  7. syslog.conf ファイルを保存します。

    ```bash
:wq
```

OneFS バージョン 8.0 および 8.1 の Syslog を構成します。

  1. CLI を使用して Dell Isilon にログインします。

  2. 次のコマンドを使用して監査を有効にします(zone_name は実際のホストに置き換えます)。

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 次のコマンドを使用して syslog 転送を有効にします。

    isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

  4. SSH クライアントを使用して Isilon ノードに接続します。

  5. /etc/mcp/templates ディレクトリにある vi を使用して syslog.conf ファイルを開きます。

    vi syslog.conf

  6. !audit_protocol 行を見つけ、次の行を追加します。<bindplane-ip> は実際の Bindplane Agent の IP アドレスに置き換えます。

    *.* @<bindplane-ip>

  7. syslog.conf ファイルを保存します。

    :wq

OneFS バージョン 8.2 ~ 9.4 の Syslog を構成します。

  1. 次のコマンドを使用して監査を有効にします(<bindplane-ip は Bindplane エージェントの IP アドレスに、zone_name は実際のホストに置き換えます)。

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  2. 次のコマンドを使用して syslog 転送を有効にします。

    isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
COMMAND target.process.command_line 未加工ログのフィールド COMMAND がこの UDM フィールドにマッピングされます。
PWD target.file.full_path messagecommand not allowed が含まれていない場合、未加工ログのフィールド PWD はこの UDM フィールドにマッピングされます。
USER principal.user.userid 未加工ログのフィールド USER がこの UDM フィールドにマッピングされます。
action_done 解析ロジックに使用される一時変数。
アプリケーション target.application 未加工ログのフィールド application がこの UDM フィールドにマッピングされます。
データ このフィールドは UDM にマッピングされません。
説明 metadata.description 未加工ログのフィールド description がこの UDM フィールドにマッピングされます。また、messagecommand not allowed が含まれている場合、command not allowed はこのフィールドにマッピングされます。
file_name target.file.full_path 未加工ログフィールド file_name は、`
intermediary_ip intermediary.ip 未加工ログのフィールド intermediary_ip がこの UDM フィールドにマッピングされます。
kv_data 解析ロジックに使用される一時変数。
method 解析ロジックに使用される一時変数。
pid target.process.pid 未加工ログのフィールド pid は、空でない場合、または - の場合に、この UDM フィールドにマッピングされます。
resource_type target.resource.type 未加工ログのフィールド resource_type がこの UDM フィールドにマッピングされます。
src_host principal.hostname 未加工ログのフィールド src_host がこの UDM フィールドにマッピングされます。
src_ip principal.ip 未加工ログのフィールド src_ip がこの UDM フィールドにマッピングされます。Grok パターンを使用して description フィールドから抽出することもできます。
ステータス 解析ロジックに使用される一時変数。
ts metadata.event_timestamp.seconds 未加工ログフィールド ts が解析され、その秒の値がこの UDM フィールドにマッピングされます。
ユーザー principal.user.userid USER が空の場合、未加工ログフィールド user がこの UDM フィールドにマッピングされます。
wsid principal.user.windows_sid 未加工ログフィールド wsid は、` の後の文字を削除してから、この UDM フィールドにマッピングされます。
なし metadata.event_type この UDM フィールドは、action_donemethodPWD の値に基づいてパーサー ロジックから導出されます。PROCESS_UNCATEGORIZEDPROCESS_OPENFILE_CREATIONFILE_OPENFILE_DELETIONFILE_MODIFICATIONFILE_UNCATEGORIZEDSTATUS_SHUTDOWN(デフォルト)のいずれかになります。
なし security_result.action この UDM フィールドは、status の値に基づいてパーサー ロジックから取得されます。ALLOW または BLOCK のいずれかを指定できます。
なし security_result.summary この UDM フィールドはパーサー ロジックから派生し、action_done の値が入力されます。
なし security_result.description この UDM フィールドは、methodstatus の値を - セパレータで連結することで、パーサー ロジックから導出されます。
なし metadata.vendor_name この UDM フィールドは DELL にハードコードされています。
なし metadata.product_name この UDM フィールドは DELL_EMC_NAS にハードコードされています。
なし metadata.log_type この UDM フィールドは DELL_EMC_NAS にハードコードされています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。