Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux DNS ExtraHop

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux DNS ExtraHop dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les journaux au format JSON d'une chaîne de message brute et gère les données non JSON en supprimant l'événement. Il mappe ensuite des champs spécifiques du fichier JSON extrait aux champs correspondants du schéma UDM (Unified Data Model), en convertissant les types de données et en gérant différentes structures de réponse DNS pour garantir une représentation cohérente.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Accès privilégié à ExtraHop DNS

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).
Modifiez le fichier config.yaml comme suit : yaml receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'EXTRAHOP_DNS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez <customer_id> par le numéro client réel.
- Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog pour le flux de données Open Data ExtraHop (DNS)

Connectez-vous à l'administration ExtraHop à l'aide de https://<extrahop-hostname-or-IP-address>/admin.

Accédez à Configuration du système > Ouvrir les flux de données.
Cliquez sur Ajouter une cible.
Dans le menu déroulant Type de cible, sélectionnez Syslog.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom unique pour identifier la cible.
- Hôte : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Protocole : sélectionnez UDP ou TCP, selon votre configuration Bindplane.
- (Facultatif) Sélectionnez Heure locale pour envoyer les informations syslog avec des codes temporels dans le fuseau horaire local.
- Cliquez sur Test.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`ans.data`	network.dns.answers.data	Extrait du champ `data` du tableau `answers` dans le journal brut.
`ans.name`	network.dns.answers.name	Extrait du champ `name` du tableau `answers` dans le journal brut.
`ans.ttl`	network.dns.answers.ttl	Extrait du champ `ttl` du tableau `answers` dans le journal brut. Convertie en `uinteger`.
`ans.typeNum`	network.dns.answers.type	Extrait du champ `typeNum` du tableau `answers` dans le journal brut. Convertie en `uinteger`.
`ans_data`	network.dns.answers.data	Extrait du champ `ans_data` du journal brut lorsque le tableau `answers` n'est pas présent.
`ans_name`	network.dns.answers.name	Extrait du champ `ans_name` du journal brut lorsque le tableau `answers` n'est pas présent.
`ans_ttl`	network.dns.answers.ttl	Extrait du champ `ans_ttl` du journal brut lorsque le tableau `answers` n'est pas présent. Convertie en `uinteger`.
`client_ip`	principal.ip	Extrait du champ `client_ip` du journal brut.
`dns_type`	network.dns.response	Si la valeur est "response", elle est mappée sur "true". Sinon, elle n'est pas mappée. Convertie en `boolean`
`dst_ip`	target.ip	Extrait du champ `dst_ip` du journal brut.
`ip_or_host`	intermediary.hostname	Si `ip_or_host` n'est pas une adresse IP valide, elle est mappée sur `intermediary.hostname`.
`ip_or_host`	intermediary.ip	Si `ip_or_host` est une adresse IP valide, elle est mappée sur `intermediary.ip`.
`opcode`	network.dns.opcode	Extrait du champ `opcode` du journal brut. Mappé sur des valeurs numériques en fonction de la chaîne d'opcode (par exemple, "QUERY" -> 0). Convertie en `uinteger`.
`qname`	network.dns.questions.name	Extrait du champ `qname` du journal brut.
`qtype`	network.dns.questions.type	Extrait du champ `qtype` du journal brut. Elles sont mises en correspondance avec des valeurs numériques en fonction de la chaîne de type d'enregistrement (par exemple, "A" -> 1). Convertie en `uinteger`.
	metadata.event_type	Variable définie sur `NETWORK_DNS`.
	metadata.log_type	Variable définie sur `EXTRAHOP_DNS`.
	network.application_protocol	Variable définie sur `DNS`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.