HPE BladeSystem c7000-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie HPE BladeSystem C7000-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parsercode extrahiert Felder aus HPE BladeSystem c7000-Syslog-Nachrichten mithilfe von regulären Ausdrücken und ordnet diese Felder dann einem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Dabei werden die Daten mit zusätzlichem Kontext wie Schweregraden und beschreibenden Labels angereichert. Es verarbeitet verschiedene Logmeldungsstrukturen und bietet eine konsistente Darstellung für die Sicherheitsüberwachung und ‑analyse.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf HPE Grid Manager

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'HPE_BLADESYSTEM_C7000'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
    • Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
    • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  1. Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  2. Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog direkt in HPE BladeSystem konfigurieren

  1. Melden Sie sich in der BladeSystem-Benutzeroberfläche an.
  2. Gehen Sie zu Konfiguration > Systemprotokoll.
  3. Klicken Sie auf den Tab Log-Optionen.
  4. Klicken Sie das Kästchen Remote-Systemprotokollierung aktivieren an.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Server Address (Syslog-Serveradresse): Geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Port: Geben Sie die Portnummer des Bindplane-Agents ein (Standardport ist 514).
    • Protokoll: Das Protokoll ist immer UDP.
  6. Klicken Sie auf Remote-Log testen und prüfen Sie, ob Logs empfangen werden.
  7. Klicken Sie zum Speichern auf Übernehmen.

Syslog in StorageGRID-Software konfigurieren

Sie können sowohl die Audit-Meldungsebenen in StorageGRID konfigurieren als auch externe Syslog-Server für die Weiterleitung dieser Meldungen einrichten.

StorageGRID-Prüfprotokollmeldungsstufen konfigurieren

  1. Melden Sie sich in der GRID Manage-Web-UI an.
  2. Gehen Sie zu Konfiguration > Monitoring > Audit- und Syslog-Server.
  3. Wählen Sie für jede Kategorie von Audit-Nachrichten die Audit-Ebene Normal aus der Liste aus.
  4. Klicken Sie auf Speichern.

Externen Syslog-Server für StorageGRID konfigurieren

  1. Klicken Sie auf der Seite Audit and syslog server (Audit- und Syslog-Server) auf Configure external syslog server (Externen Syslog-Server konfigurieren).
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Geben Sie Syslog-Informationen ein: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Geben Sie die Portnummer des Bindplane-Agents ein. Der Standardport ist 514.
    • Wählen Sie je nach Bindplane-Agent-Konfiguration das Protokoll UDP oder TCP aus.
  3. Klicken Sie auf Weiter.

Syslog-Ereignisse konfigurieren

  1. Wählen Sie im Schritt Syslog-Inhalte verwalten des Assistenten die einzelnen Arten von Audit-Informationen aus, die Sie an den externen Syslog-Server senden möchten.
    • Audit-Logs senden
    • Sicherheitshinweise senden
    • Anwendungslogs senden
    • Zugriffsprotokolle senden
  2. Wählen Sie für Schweregrad die Option Passthrough oder 7 (Informational) aus.
  3. Wählen Sie für Einrichtung die Option Passthrough aus.
  4. Klicken Sie auf Weiter.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Befehl principal.process.command_line Direkt aus dem Rohlogfeld „command“ zugeordnet.
Komponente metadata.product_event_type Direkt aus dem Rohlogfeld „component“ zugeordnet.
component_name additional.fields[0].value.string_value Direkt aus dem Rohlogfeld „component_name“ zugeordnet.
description security_result.description Direkt aus dem Rohlogfeld „description“ zugeordnet, nach optionalem Grok-Parsing.
description security_result.detection_fields[0].value Aus dem Feld „description“ (Beschreibung) mit einem Grok-Muster extrahiert. Stellt den aktuellen Status dar.
description security_result.detection_fields[1].value Aus dem Feld „description“ (Beschreibung) mit einem Grok-Muster extrahiert. Stellt den vorherigen Status dar.
description security_result.detection_fields[2].value Aus dem Feld „description“ (Beschreibung) mit einem Grok-Muster extrahiert. Gibt den Grund für die Statusänderung an.
event_timestamp metadata.event_timestamp Direkt aus dem Rohlogfeld „event_timestamp“ nach dem Parsen des Datums zugeordnet.
Hostname principal.hostname Direkt aus dem Rohlogfeld „hostname“ zugeordnet.
Hostname principal.asset.hostname Kopiert aus dem zugeordneten Feld „principal.hostname“.
internal_code additional.fields[1].value.string_value Direkt aus dem Rohlogfeld „internal_code“ zugeordnet.
priority_id additional.fields[2].value.string_value Direkt aus dem Rohlogfeld „priority_id“ zugeordnet.
additional.fields[0].key Statischer Wert: „Komponentenname“.
additional.fields[1].key Statischer Wert: „Interner Code“.
additional.fields[2].key Statischer Wert: „Priority Id“ (Prioritäts-ID).
metadata.event_type Wird auf „STATUS_UPDATE“ gesetzt, wenn „principal.hostname“ erfolgreich extrahiert wurde. Andernfalls wird „GENERIC_EVENT“ verwendet.
metadata.vendor_name Statischer Wert: „HP“
metadata.product_name Statischer Wert: „HPE BladeSystem c7000“.
metadata.log_type Statischer Wert: „HPE_BLADESYSTEM_C7000“.
security_result.severity Wird anhand des Felds „severity“ (Schweregrad) gemäß der folgenden Logik zugeordnet:
 – „Critical“ (Kritisch) –> „CRITICAL“
 – „Major“ (Schwerwiegend) –> „HIGH“ (Hoch)
 – „Warning“ (Warnung) –> „MEDIUM“ (Mittel)
 – „Info“ (Information), „Minor“ (Geringfügig) –> „LOW“ (Niedrig)
 – Standard –> „UNKNOWN_SEVERITY“ (Unbekannter Schweregrad)
security_result.detection_fields[0].key Statischer Wert: „Current State“ (Aktueller Status).
security_result.detection_fields[1].key Statischer Wert: „Previous State“ (Vorheriger Status).
security_result.detection_fields[2].key Statischer Wert: „Ursache“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten