收集 Dell EMC Isilon NAS 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Dell EMC Isilon NAS 日志注入到 Google Security Operations。Logstash 解析器代码首先使用 grok 模式从 DELL_EMC_NAS syslog 消息中提取各种字段,例如时间戳、IP 地址、用户名和文件路径。然后,它会将提取的字段映射到统一数据模型 (UDM) 架构中的相应属性,从而有效地将原始日志数据转换为结构化格式以供分析。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Dell EMC Isilon 的特权访问
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_NAS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为在第 1 步中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 OneFS 版本 7.x 配置 Syslog:
- 使用 CLI 登录 Dell Isilon。
使用以下命令启用审核(将
zone_name替换为实际主机):isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write使用以下命令启用 syslog 转发:
isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes使用 SSH 客户端连接到 Isilon 节点。
使用
vi打开/etc/mcp/templates目录中的syslog.conf文件。vi syslog.conf找到
!audit_protocol代码行并添加以下代码行,将<bindplane-ip>替换为实际的 Bindplane 代理 IP 地址:*.* @<bindplane-ip>保存
syslog.conf文件:```bash :wq ```
为 OneFS 版本 8.0 和 8.1 配置 Syslog:
- 使用 CLI 登录 Dell Isilon。
使用以下命令启用审核(将
zone_name替换为实际主机):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write使用以下命令启用 syslog 转发:
isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>使用 SSH 客户端连接到 Isilon 节点。
使用
vi打开/etc/mcp/templates目录中的syslog.conf文件。vi syslog.conf找到
!audit_protocol代码行并添加以下代码行,将<bindplane-ip>替换为实际的 Bindplane 代理 IP 地址:*.* @<bindplane-ip>保存
syslog.conf文件::wq
为 OneFS 版本 8.2 至 9.4 配置 Syslog:
使用以下命令启用审核(将
<bindplane-ip替换为 Bindplane 代理 IP 地址,并将zone_name替换为实际主机):isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write使用以下命令启用 syslog 转发:
isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| COMMAND | target.process.command_line | 原始日志字段 COMMAND 映射到此 UDM 字段。 |
| PWD | target.file.full_path | 如果 message 不包含 command not allowed,则原始日志字段 PWD 会映射到此 UDM 字段。 |
| 用户 | principal.user.userid | 原始日志字段 USER 映射到此 UDM 字段。 |
| action_done | 用于解析逻辑的临时变量。 | |
| 应用 | target.application | 原始日志字段 application 映射到此 UDM 字段。 |
| 数据 | 此字段未映射到 UDM。 | |
| 说明 | metadata.description | 原始日志字段 description 映射到此 UDM 字段。此外,当 message 包含 command not allowed 时,command not allowed 会映射到此字段。 |
| file_name | target.file.full_path | 原始日志字段 file_name 在移除所有 ` |
| intermediary_ip | intermediary.ip | 原始日志字段 intermediary_ip 映射到此 UDM 字段。 |
| kv_data | 用于解析逻辑的临时变量。 | |
| 方法 | 用于解析逻辑的临时变量。 | |
| pid | target.process.pid | 当原始日志字段 pid 不为空或不为 - 时,会映射到此 UDM 字段。 |
| resource_type | target.resource.type | 原始日志字段 resource_type 映射到此 UDM 字段。 |
| src_host | principal.hostname | 原始日志字段 src_host 映射到此 UDM 字段。 |
| src_ip | principal.ip | 原始日志字段 src_ip 映射到此 UDM 字段。也可以使用 Grok 模式从 description 字段中提取。 |
| 状态 | 用于解析逻辑的临时变量。 | |
| ts | metadata.event_timestamp.seconds | 系统会解析原始日志字段 ts,并将其秒数值映射到此 UDM 字段。 |
| 用户 | principal.user.userid | 如果 USER 为空,则原始日志字段 user 会映射到此 UDM 字段。 |
| wsid | principal.user.windows_sid | 原始日志字段 wsid 在移除 ` 之后的所有字符后,会映射到此 UDM 字段 |
| 不适用 | metadata.event_type | 此 UDM 字段是根据 action_done、method 和 PWD 的值通过解析器逻辑派生出来的。可以是以下各项之一:PROCESS_UNCATEGORIZED、PROCESS_OPEN、FILE_CREATION、FILE_OPEN、FILE_DELETION、FILE_MODIFICATION、FILE_UNCATEGORIZED 或 STATUS_SHUTDOWN(默认值)。 |
| 不适用 | security_result.action | 此 UDM 字段是根据 status 的值通过解析器逻辑派生出来的。可以是 ALLOW 或 BLOCK。 |
| 不适用 | security_result.summary | 此 UDM 字段派生自解析器逻辑,并填充了 action_done 的值。 |
| 不适用 | security_result.description | 此 UDM 字段通过将 method 和 status 的值与 - 分隔符串联,从解析器逻辑中派生出来。 |
| 不适用 | metadata.vendor_name | 此 UDM 字段已硬编码为 DELL。 |
| 不适用 | metadata.product_name | 此 UDM 字段已硬编码为 DELL_EMC_NAS。 |
| 不适用 | metadata.log_type | 此 UDM 字段已硬编码为 DELL_EMC_NAS。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。