Dell OpenManage-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Dell OpenManage-Logs mit Bindplane in Google Security Operations aufnehmen. Der Logstash-Parsercode extrahiert zuerst Schlüssel/Wert-Paare aus unformatierten DELL_OPENMANAGE-Logs mithilfe von Grok-Mustern und Stringbearbeitung. Anschließend werden die extrahierten Felder den entsprechenden UDM-Feldern (Unified Data Model) zugeordnet. Die Daten werden mit Sicherheitskontext angereichert und ihr Format für die weitere Analyse standardisiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf Dell OpenManage

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_OPENMANAGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog für ESET PROTECT On-Premise konfigurieren

  1. Melden Sie sich in der ESET Protect Web Console an.
  2. Rufen Sie Benachrichtigungen > Benachrichtigungsrichtlinien > Erstellen auf.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Geben Sie im Dialogfeld Benachrichtigungsrichtlinie erstellen einen aussagekräftigen Namen und eine Beschreibung für die Richtlinie ein.
    • Prüfen Sie, ob das Kästchen Richtlinie aktivieren angeklickt ist.
    • Klicken Sie auf Weiter.
    • Kategorie: Maximieren Sie Anwendung und wählen Sie alle Kategorien und Unterkategorien der Geräteprotokolle aus.
    • Klicken Sie auf Weiter.
    • Ziel: Die Option Geräte auswählen ist standardmäßig ausgewählt. Wählen Sie keine Zielgeräte aus, da die Protokolle an Bindplane weitergeleitet werden.
    • Klicken Sie auf Weiter.
    • Schweregrad: Setzen Sie ein Häkchen bei Alle.
    • Klicken Sie auf Weiter.
    • Aktionen: Wählen Sie Syslog aus.
    • Klicken Sie auf Aktivieren und geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Klicken Sie auf Weiter.
  4. Klicken Sie auf Beenden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
data.HostName read_only_udm.principal.hostname Der Wert von HostName aus dem Rohlog wird direkt read_only_udm.principal.hostname zugeordnet.
data.IP read_only_udm.target.ip Der Wert von IP aus dem Rohlog wird direkt read_only_udm.target.ip zugeordnet.
data.Message read_only_udm.metadata.description Der Wert von Message aus dem Rohlog wird direkt read_only_udm.metadata.description zugeordnet.
data.MessageID read_only_udm.additional.fields.value.string_value Der Wert von MessageID aus dem Rohlog wird direkt read_only_udm.additional.fields.value.string_value zugeordnet.
data.Recommended Action read_only_udm.additional.fields.value.string_value Der Wert von Recommended Action aus dem Rohlog wird direkt read_only_udm.additional.fields.value.string_value zugeordnet.
data.Severity read_only_udm.security_result.severity Der Wert von Severity aus dem Rohlog wird nach der Umwandlung in Großbuchstaben read_only_udm.security_result.severity zugeordnet.
data.timestamp.nanos read_only_udm.metadata.event_timestamp.nanos Der Wert von timestamp.nanos aus dem Rohlog wird direkt read_only_udm.metadata.event_timestamp.nanos zugeordnet.
data.timestamp.seconds read_only_udm.metadata.event_timestamp.seconds Der Wert von timestamp.seconds aus dem Rohlog wird direkt read_only_udm.metadata.event_timestamp.seconds zugeordnet.
read_only_udm.metadata.event_type Dieses Feld wird anhand des Inhalts des Felds Message aus dem Rohprotokoll bestimmt.
read_only_udm.metadata.log_type Dieses Feld ist im Parsercode auf DELL_OPENMANAGE hartcodiert.
read_only_udm.metadata.product_name Dieses Feld ist im Parsercode auf DELL_OPENMANAGE hartcodiert.
read_only_udm.metadata.vendor_name Dieses Feld ist im Parsercode auf DELL hartcodiert.
read_only_udm.additional.fields.key Dieser Feldname ist im Parsercode hartcodiert. Der Wert dieses Felds ist MessageID oder Recommended_Action.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten