收集 Dell OpenManage 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Dell OpenManage 日志注入到 Google Security Operations。Logstash 解析器代码首先使用 grok 模式和字符串操作从原始 DELL_OPENMANAGE 日志中提取键值对。然后,它会将提取的字段映射到相应的统一数据模型 (UDM) 字段,通过安全背景信息丰富数据,并标准化数据格式以供进一步分析。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Dell OpenManage 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_OPENMANAGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

为 ESET PROTECT 本地版配置 Syslog

  1. 登录 ESET Protect Web 控制台。
  2. 依次前往提醒 > 提醒政策 > 创建
  3. 提供以下配置详细信息:
    • 创建提醒政策对话框中,为政策输入有意义的名称说明
    • 确认启用政策复选框处于选中状态。
    • 点击下一步
    • 类别:展开应用,然后选择设备日志的所有类别和子类别。
    • 点击下一步
    • 定位:系统会默认选择选择设备选项。请勿选择任何目标设备,因为日志会转发到 Bindplane。
    • 点击下一步
    • 严重程度:选中全部复选框。
    • 点击下一步
    • 操作:选择 Syslog
    • 点击启用,然后输入 Bindplane 代理 IP 地址。
    • 点击下一步
  4. 点击完成

UDM 映射表

日志字段 UDM 映射 逻辑
data.HostName read_only_udm.principal.hostname 原始日志中的 HostName 值直接映射到 read_only_udm.principal.hostname
data.IP read_only_udm.target.ip 原始日志中的 IP 值直接映射到 read_only_udm.target.ip
data.Message read_only_udm.metadata.description 原始日志中的 Message 值直接映射到 read_only_udm.metadata.description
data.MessageID read_only_udm.additional.fields.value.string_value 原始日志中的 MessageID 值直接映射到 read_only_udm.additional.fields.value.string_value
data.Recommended Action read_only_udm.additional.fields.value.string_value 原始日志中的 Recommended Action 值直接映射到 read_only_udm.additional.fields.value.string_value
data.Severity read_only_udm.security_result.severity 原始日志中的 Severity 值在转换为大写后会映射到 read_only_udm.security_result.severity
data.timestamp.nanos read_only_udm.metadata.event_timestamp.nanos 原始日志中的 timestamp.nanos 值直接映射到 read_only_udm.metadata.event_timestamp.nanos
data.timestamp.seconds read_only_udm.metadata.event_timestamp.seconds 原始日志中的 timestamp.seconds 值直接映射到 read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_type 此字段根据原始日志中 Message 字段的内容确定。
read_only_udm.metadata.log_type 此字段在解析器代码中硬编码为 DELL_OPENMANAGE
read_only_udm.metadata.product_name 此字段在解析器代码中硬编码为 DELL_OPENMANAGE
read_only_udm.metadata.vendor_name 此字段在解析器代码中硬编码为 DELL
read_only_udm.additional.fields.key 此字段名称已在解析器代码中硬编码。此字段的值为 MessageIDRecommended_Action

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。