Recolha registos do NAS Dell EMC Isilon
Este documento explica como carregar registos do Dell EMC Isilon NAS para o Google Security Operations através do Bindplane. O código do analisador Logstash usa primeiro padrões grokpara extrair vários campos, como datas/horas, endereços IP, nomes de utilizador e caminhos de ficheiros, de mensagens syslog DELL_EMC_NAS. Em seguida, mapeia os campos extraídos para os atributos correspondentes no esquema do modelo de dados unificado (UDM), transformando eficazmente os dados de registo não processados num formato estruturado para análise.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- Instância do Google SecOps
- Windows 2016 ou posterior, ou um anfitrião Linux com
systemd - Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
- Acesso privilegiado ao Dell EMC Isilon
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Instale o agente do Bindplane
Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.
Instalação do Windows
- Abra a Linha de comandos ou o PowerShell como administrador.
Execute o seguinte comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute o seguinte comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalação adicionais
Para ver opções de instalação adicionais, consulte o guia de instalação.
Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps
- Aceda ao ficheiro de configuração:
- Localize o ficheiro
config.yaml. Normalmente, encontra-se no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o ficheiro com um editor de texto (por exemplo,
nano,viou Bloco de notas).
- Localize o ficheiro
Edite o ficheiro
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_NAS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID de cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho onde o ficheiro de autenticação foi guardado no passo 1.
Reinicie o agente do Bindplane para aplicar as alterações
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configure o Syslog para a versão 7.x do OneFS:
- Inicie sessão no Dell Isilon através da CLI.
Ative a auditoria através dos seguintes comandos (substitua
zone_namepelo anfitrião real):isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAtive o encaminhamento de syslog com o seguinte comando:
isi zone zones modify <zone_name> --syslog-forwarding-enabled=yesLigue-se a um nó do Isilon através de um cliente SSH.
Abra o ficheiro
syslog.confcom ovi, que se encontra no diretório/etc/mcp/templates.vi syslog.confLocalize a linha
!audit_protocole adicione a seguinte linha, substituindo<bindplane-ip>pelo endereço IP real do agente do Bindplane:*.* @<bindplane-ip>Guarde o ficheiro
syslog.conf:```bash :wq ```
Configure o Syslog para as versões 8.0 e 8.1 do OneFS:
- Inicie sessão no Dell Isilon através da CLI.
Ative a auditoria através dos seguintes comandos (substitua
zone_namepelo anfitrião real):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAtive o encaminhamento de syslog com o seguinte comando:
isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>Ligue-se a um nó do Isilon através de um cliente SSH.
Abra o ficheiro
syslog.confcom ovi, que se encontra no diretório/etc/mcp/templates.vi syslog.confLocalize a linha
!audit_protocole adicione a seguinte linha, substituindo<bindplane-ip>pelo endereço IP real do agente do Bindplane:*.* @<bindplane-ip>Guarde o ficheiro
syslog.conf::wq
Configure o Syslog para as versões 8.2 a 9.4 do OneFS:
Ative a auditoria através dos seguintes comandos (substitua
<bindplane-ippelo endereço IP do agente do Bindplane ezone_namepelo anfitrião real):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,writeAtive o encaminhamento de syslog com o seguinte comando:
isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| COMMAND | target.process.command_line | O campo de registo não processado COMMAND está mapeado para este campo da GDU. |
| PWD | target.file.full_path | O campo de registo não processado PWD é mapeado para este campo UDM quando message não contém command not allowed. |
| UTILIZADOR | principal.user.userid | O campo de registo não processado USER está mapeado para este campo da GDU. |
| action_done | Variável temporária usada para analisar a lógica. | |
| aplicação | target.application | O campo de registo não processado application está mapeado para este campo da GDU. |
| dados | Este campo não está mapeado para o UDM. | |
| descrição | metadata.description | O campo de registo não processado description está mapeado para este campo da GDU. Além disso, command not allowed é mapeado para este campo quando message contém command not allowed. |
| file_name | target.file.full_path | O campo de registo não processado file_name é mapeado para este campo da UDM após a remoção de quaisquer ` |
| intermediary_ip | intermediary.ip | O campo de registo não processado intermediary_ip está mapeado para este campo da GDU. |
| kv_data | Variável temporária usada para analisar a lógica. | |
| método | Variável temporária usada para analisar a lógica. | |
| pid | target.process.pid | O campo de registo não processado pid é mapeado para este campo de UDM quando não está vazio ou é -. |
| resource_type | target.resource.type | O campo de registo não processado resource_type está mapeado para este campo da GDU. |
| src_host | principal.hostname | O campo de registo não processado src_host está mapeado para este campo da GDU. |
| src_ip | principal.ip | O campo de registo não processado src_ip está mapeado para este campo da GDU. Também pode ser extraído do campo description através de um padrão Grok. |
| estado | Variável temporária usada para analisar a lógica. | |
| ts | metadata.event_timestamp.seconds | O campo de registo não processado ts é analisado e o respetivo valor em segundos é mapeado para este campo de UDM. |
| utilizador | principal.user.userid | O campo de registo não processado user é mapeado para este campo UDM se USER estiver vazio. |
| wsid | principal.user.windows_sid | O campo de registo não processado wsid é mapeado para este campo UDM após a remoção de quaisquer carateres após ` |
| N/A | metadata.event_type | Este campo UDM é derivado da lógica do analisador com base nos valores de action_done, method e PWD. Pode ser um dos seguintes: PROCESS_UNCATEGORIZED, PROCESS_OPEN, FILE_CREATION, FILE_OPEN, FILE_DELETION, FILE_MODIFICATION, FILE_UNCATEGORIZED ou STATUS_SHUTDOWN (predefinição). |
| N/A | security_result.action | Este campo UDM é derivado da lógica do analisador com base no valor de status. Pode ser ALLOW ou BLOCK. |
| N/A | security_result.summary | Este campo da UDM é derivado da lógica do analisador e preenchido com o valor de action_done. |
| N/A | security_result.description | Este campo UDM é derivado da lógica do analisador ao concatenar os valores de method e status com um separador -. |
| N/A | metadata.vendor_name | Este campo UDM está codificado como DELL. |
| N/A | metadata.product_name | Este campo UDM está codificado como DELL_EMC_NAS. |
| N/A | metadata.log_type | Este campo UDM está codificado como DELL_EMC_NAS. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.