Esta página foi traduzida pela API Cloud Translation.

Coletar registros do NAS Dell EMC Isilon

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do NAS Dell EMC Isilon no Google Security Operations usando o Bindplane. O código do analisador do Logstash primeiro usa padrões grok para extrair vários campos, como carimbos de data/hora, endereços IP, nomes de usuário e caminhos de arquivo de mensagens syslog DELL_EMC_NAS. Em seguida, ele mapeia os campos extraídos para os atributos correspondentes no esquema do Modelo de Dados Unificado (UDM, na sigla em inglês), transformando os dados de registro brutos em um formato estruturado para análise.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Dell EMC Isilon

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na Etapa 1.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o OneFS versão 7.x:

Faça login no Dell Isilon usando a CLI.

Ative a auditoria usando os seguintes comandos (substitua zone_name pelo host real):

isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Ative o encaminhamento do syslog usando o seguinte comando:

isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

Conecte-se a um nó do Isilon usando um cliente SSH.
Abra o arquivo syslog.conf usando o vi, que está localizado no diretório /etc/mcp/templates.
```
vi syslog.conf
```
Localize a linha !audit_protocol e adicione a seguinte linha, substituindo <bindplane-ip> pelo endereço IP real do agente do Bindplane:
```
*.* @<bindplane-ip>
```
Salve o arquivo syslog.conf:
```
```bash
:wq
```
```

Configure o Syslog para as versões 8.0 e 8.1 do OneFS:

Faça login no Dell Isilon usando a CLI.

Ative a auditoria usando os seguintes comandos (substitua zone_name pelo host real):

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Ative o encaminhamento do syslog usando o seguinte comando:

isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

Conecte-se a um nó do Isilon usando um cliente SSH.
Abra o arquivo syslog.conf usando o vi, que está localizado no diretório /etc/mcp/templates.
```
vi syslog.conf
```
Localize a linha !audit_protocol e adicione a seguinte linha, substituindo <bindplane-ip> pelo endereço IP real do agente do Bindplane:
```
*.* @<bindplane-ip>
```
Salve o arquivo syslog.conf:
```
:wq
```

Configure o Syslog para as versões 8.2 a 9.4 do OneFS:

Ative a auditoria usando os comandos a seguir. Substitua <bindplane-ip pelo endereço IP do agente do Bindplane e zone_name pelo host real:

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

Ative o encaminhamento do syslog usando o seguinte comando:

isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
COMMAND	target.process.command_line	O campo de registro bruto `COMMAND` é mapeado para este campo do UDM.
PWD	target.file.full_path	O campo de registro bruto `PWD` é mapeado para esse campo do UDM quando `message` não contém `command not allowed`.
USUÁRIO	principal.user.userid	O campo de registro bruto `USER` é mapeado para este campo do UDM.
action_done		Variável temporária usada para analisar a lógica.
aplicativo	target.application	O campo de registro bruto `application` é mapeado para este campo do UDM.
dados		Esse campo não é mapeado para a UDM.
description	metadata.description	O campo de registro bruto `description` é mapeado para este campo do UDM. Além disso, `command not allowed` é mapeado para esse campo quando `message` contém `command not allowed`.
file_name	target.file.full_path	O campo de registro bruto `file_name` é mapeado para esse campo do UDM depois de remover qualquer
intermediary_ip	intermediary.ip	O campo de registro bruto `intermediary_ip` é mapeado para este campo do UDM.
kv_data		Variável temporária usada para analisar a lógica.
método		Variável temporária usada para analisar a lógica.
pid	target.process.pid	O campo de registro bruto `pid` é mapeado para esse campo do UDM quando não está vazio ou é `-`.
resource_type	target.resource.type	O campo de registro bruto `resource_type` é mapeado para este campo do UDM.
src_host	principal.hostname	O campo de registro bruto `src_host` é mapeado para este campo do UDM.
src_ip	principal.ip	O campo de registro bruto `src_ip` é mapeado para este campo do UDM. Ele também pode ser extraído do campo `description` usando um padrão Grok.
status		Variável temporária usada para analisar a lógica.
ts	metadata.event_timestamp.seconds	O campo de registro bruto `ts` é analisado, e o valor de segundos dele é mapeado para esse campo do UDM.
usuário	principal.user.userid	O campo de registro bruto `user` é mapeado para esse campo do UDM se `USER` estiver vazio.
wsid	principal.user.windows_sid	O campo de registro bruto `wsid` é mapeado para esse campo do UDM depois de remover todos os caracteres após `
N/A	metadata.event_type	Esse campo do UDM é derivado da lógica do analisador com base nos valores de `action_done`, `method` e `PWD`. Pode ser um dos seguintes valores: `PROCESS_UNCATEGORIZED`, `PROCESS_OPEN`, `FILE_CREATION`, `FILE_OPEN`, `FILE_DELETION`, `FILE_MODIFICATION`, `FILE_UNCATEGORIZED` ou `STATUS_SHUTDOWN` (padrão).
N/A	security_result.action	Esse campo do UDM é derivado da lógica do analisador com base no valor de `status`. Pode ser `ALLOW` ou `BLOCK`.
N/A	security_result.summary	Esse campo do UDM é derivado da lógica do analisador e preenchido com o valor de `action_done`.
N/A	security_result.description	Esse campo do UDM é derivado da lógica do analisador ao concatenar os valores de `method` e `status` com um separador `-`.
N/A	metadata.vendor_name	Esse campo do UDM está fixado no código como `DELL`.
N/A	metadata.product_name	Esse campo do UDM está fixado no código como `DELL_EMC_NAS`.
N/A	metadata.log_type	Esse campo do UDM está fixado no código como `DELL_EMC_NAS`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.