Raccogliere i log di controllo di HashiCorp

Questo parser elabora i log di controllo HashiCorp in formato JSON, Syslog o combinato. Estrae i campi, esegue l'analisi Grok e KV per i messaggi di tipo standard e "runner", gestisce i payload JSON e mappa i dati estratti all'UDM. Il parser include anche la gestione degli errori e l'eliminazione dei log non validi.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di avere un host Windows 2016 o versioni successive o Linux con systemd.
• Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso privilegiato a HCP.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

1. Per l'installazione di Windows, esegui il seguente script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Per l'installazione di Linux, esegui il seguente script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi alla macchina in cui è installato l'agente Bindplane.

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: auditd
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Riavvia l'agente Bindplane per applicare le modifiche:

   sudo systemctl restart bindplane
   

Abilita Syslog per HCP Vault

1. Accedi al portale HCP.
2. Vai a Vault Clusters.
3. Seleziona il cluster Vault dall'elenco dei cluster di cui è stato eseguito il deployment.
4. In Panoramica del cluster, individua e copia l'indirizzo Vault (ad esempio, https://vault-cluster-name.hashicorpcloud.com:8200).
5. Vai alla sezione Dettagli di accesso e copia il token root.

Installa la CLI di Vault

• Per Linux:

  curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
  echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
  sudo apt update && sudo apt install vault
  

• Per macOS (utilizzando Homebrew):

  brew tap hashicorp/tap
  brew install hashicorp/tap/vault
  

• Per Windows:

  Download the executable file.
  Extract it and add the Vault binary to your system's PATH.
  

• Verifica l'installazione di Vault CLI eseguendo:

  vault --version
  

Configura HCP Vault utilizzando la CLI per inviare audit log a Bindplane

1. Apri il terminale o il prompt dei comandi.

2. Imposta l'indirizzo del server Vault utilizzando la variabile di ambiente:

   export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
   

3. Accedi a Vault utilizzando il token root:

   vault login <root-token>
   

Configura il percorso Syslog su un socket Syslog esterno

1. Esegui questo comando per abilitare syslog e inviarlo a Bindplane Agent:

   vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
   

2. Conferma la nuova configurazione:

   vault audit list
   

3. L'output dovrebbe mostrare la nuova configurazione del socket.

4. (Facoltativo) Automatizza la configurazione utilizzando Terraform:

   • Crea un file di configurazione Terraform (audit.tf):

   resource "vault_audit" "syslog" {
     type        = "syslog"
     description = "Syslog audit logs"
     options = {
       tag      = "vault"
       facility = "LOCAL0"
     }
   }
   
   resource "vault_audit" "socket" {
     type        = "socket"
     description = "Remote syslog socket"
     options = {
       address     = "udp://<syslog-server-ip>:514"
       socket_type = "udp"
       tag         = "vault"
     }
   }
   

   • Applica la configurazione:

   terraform init
   terraform apply
   

Risoluzione dei problemi relativi ai log non ricevuti

• Verifica che il server syslog sia raggiungibile:

  ping <syslog-server-ip>
  

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.