收集 Dell EMC Isilon NAS 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Dell EMC Isilon NAS 記錄擷取至 Google Security Operations。Logstash 剖析器程式碼會先使用 grok 模式,從 DELL_EMC_NAS 系統記錄訊息中擷取各種欄位,例如時間戳記、IP 位址、使用者名稱和檔案路徑。然後將擷取的欄位對應至 Unified Data Model (UDM) 結構定義中的相應屬性,有效將原始記錄資料轉換為結構化格式,以供分析。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • Dell EMC Isilon 的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為您在步驟 1 儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

為 OneFS 7.x 版設定系統記錄:

  1. 使用 CLI 登入 Dell Isilon

  2. 使用下列指令啟用稽核功能 (將 zone_name 替換為實際主機):

    isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 使用下列指令啟用系統記錄轉送功能:

    isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

  4. 使用 SSH 用戶端連線至 Isilon 節點。

  5. 使用 vi 開啟 syslog.conf 檔案,該檔案位於 /etc/mcp/templates 目錄中。

    vi syslog.conf

  6. 找出 !audit_protocol 行,在下方加入以下指令行,並將 <bindplane-ip> 替換為實際的 Bindplane 代理程式 IP 位址:

    *.* @<bindplane-ip>

  7. 儲存 syslog.conf 檔案:

    ```bash
:wq
```

為 OneFS 8.0 和 8.1 版設定系統記錄:

  1. 使用 CLI 登入 Dell Isilon

  2. 使用下列指令啟用稽核功能 (將 zone_name 替換為實際主機):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 使用下列指令啟用系統記錄轉送功能:

    isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

  4. 使用 SSH 用戶端連線至 Isilon 節點。

  5. 使用 vi 開啟 syslog.conf 檔案,該檔案位於 /etc/mcp/templates 目錄中。

    vi syslog.conf

  6. 找出 !audit_protocol 行,在下方加入以下指令行,並將 <bindplane-ip> 替換為實際的 Bindplane 代理程式 IP 位址:

    *.* @<bindplane-ip>

  7. 儲存 syslog.conf 檔案:

    :wq

為 OneFS 8.2 至 9.4 版設定系統記錄:

  1. 使用下列指令啟用稽核功能 (將 <bindplane-ip 替換為 Bindplane 代理程式 IP 位址,並將 zone_name 替換為實際主機):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  2. 使用下列指令啟用系統記錄轉送功能:

    isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

UDM 對應表

記錄欄位 UDM 對應 邏輯
COMMAND target.process.command_line 原始記錄欄位 COMMAND 會對應至這個 UDM 欄位。
PWD target.file.full_path message 不含 command not allowed 時,原始記錄欄位 PWD 會對應至這個 UDM 欄位。
使用者 principal.user.userid 原始記錄欄位 USER 會對應至這個 UDM 欄位。
action_done 用於剖析邏輯的暫時變數。
調度應用程式資源 target.application 原始記錄欄位 application 會對應至這個 UDM 欄位。
資料 這個欄位未對應至 UDM。
說明 metadata.description 原始記錄欄位 description 會對應至這個 UDM 欄位。此外,如果 message 包含 command not allowed,則 command not allowed 會對應至這個欄位。
file_name target.file.full_path 移除任何 ` 後,原始記錄欄位 file_name 會對應至這個 UDM 欄位
intermediary_ip intermediary.ip 原始記錄欄位 intermediary_ip 會對應至這個 UDM 欄位。
kv_data 用於剖析邏輯的暫時變數。
方法 用於剖析邏輯的暫時變數。
pid target.process.pid 如果原始記錄欄位 pid 不為空白或 -,就會對應至這個 UDM 欄位。
resource_type target.resource.type 原始記錄欄位 resource_type 會對應至這個 UDM 欄位。
src_host principal.hostname 原始記錄欄位 src_host 會對應至這個 UDM 欄位。
src_ip principal.ip 原始記錄欄位 src_ip 會對應至這個 UDM 欄位。也可以使用 Grok 模式從 description 欄位擷取。
狀態 用於剖析邏輯的暫時變數。
ts metadata.event_timestamp.seconds 系統會剖析原始記錄欄位 ts,並將其秒數值對應至這個 UDM 欄位。
使用者 principal.user.userid 如果 USER 為空,系統會將原始記錄欄位 user 對應至這個 UDM 欄位。
wsid principal.user.windows_sid 移除 ` 後的任何字元後,原始記錄欄位 wsid 會對應至這個 UDM 欄位
不適用 metadata.event_type 這個 UDM 欄位是根據 action_donemethodPWD 的值,透過剖析器邏輯衍生而來。可以是下列其中一個值:PROCESS_UNCATEGORIZEDPROCESS_OPENFILE_CREATIONFILE_OPENFILE_DELETIONFILE_MODIFICATIONFILE_UNCATEGORIZEDSTATUS_SHUTDOWN (預設值)。
不適用 security_result.action 這個 UDM 欄位是根據 status 的值,透過剖析器邏輯衍生而來。可以是 ALLOWBLOCK
不適用 security_result.summary 這個 UDM 欄位是從剖析器邏輯衍生而來,並填入 action_done 的值。
不適用 security_result.description 這個 UDM 欄位是透過剖析器邏輯,將 methodstatus 的值與 - 分隔符串連而來。
不適用 metadata.vendor_name 這個 UDM 欄位已硬式編碼為 DELL
不適用 metadata.product_name 這個 UDM 欄位已硬式編碼為 DELL_EMC_NAS
不適用 metadata.log_type 這個 UDM 欄位已硬式編碼為 DELL_EMC_NAS

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。