Recopila registros de HPE BladeSystem c7000

En este documento, se explica cómo transferir registros de HPE BladeSystem C7000 a Google Security Operations con Bindplane. El código del analizador extrae campos de los mensajes de syslog de HPE BladeSystem c7000 con expresiones regulares y, luego, asigna esos campos a un modelo de datos unificado (UDM) mientras enriquece los datos con contexto adicional, como niveles de gravedad y etiquetas descriptivas. Maneja varias estructuras de mensajes de registro y proporciona una representación coherente para la supervisión y el análisis de la seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
• Acceso con privilegios a HPE Grid Manager

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:
   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'HPE_BLADESYSTEM_C7000'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

1. Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configura Syslog directamente en HPE BladeSystem

1. Accede a la IU de BladeSystem.
2. Ve a Configuración > Registro del sistema.
3. Haz clic en la pestaña Opciones de registro.
4. Selecciona la casilla de verificación Habilitar el registro remoto del sistema.
5. Proporciona los siguientes detalles de configuración:
   • Dirección del servidor Syslog: Ingresa la dirección IP del agente de BindPlane.
   • Puerto: Ingresa el número de puerto del agente de Bindplane (el puerto predeterminado es 514).
   • Protocolo: El protocolo siempre es UDP.
6. Haz clic en Test Remote Log y verifica que se reciban los registros.
7. Haz clic en Aplicar para guardar.

Configura Syslog en el software de StorageGRID

Puedes configurar los niveles de mensajes de auditoría en StorageGRID y configurar servidores Syslog externos para reenviar estos mensajes.

Configura los niveles de mensajes de auditoría de StorageGRID

1. Accede a la IU web de GRID Manage.
2. Ve a Configuración > Supervisión > Servidor de auditoría y syslog.
3. Para cada categoría de mensaje de auditoría, selecciona el nivel de auditoría Normal de la lista.
4. Haz clic en Guardar.

Configura el servidor syslog externo de StorageGRID

1. En la página Servidor de auditoría y syslog, haz clic en Configurar servidor syslog externo.
2. Proporciona los siguientes detalles de configuración:
   • Ingresa la información de syslog: Ingresa la dirección IP del agente de BindPlane.
   • Ingresa el número de puerto del agente de Bindplane (el puerto predeterminado es 514).
   • Selecciona el protocolo UDP o TCP, según la configuración de tu agente de Bindplane.
3. Haz clic en Continuar.

Configura eventos de Syslog

1. En el paso Administrar contenido de syslog del asistente, selecciona cada tipo de información de auditoría que quieras enviar al servidor syslog externo.
   • Envía registros de auditoría
   • Envía eventos de seguridad
   • Cómo enviar registros de aplicaciones
   • Envía registros de acceso
2. En Gravedad, selecciona Transferencia o 7 (Informativa).
3. En Instalación, selecciona Transferencia.
4. Haz clic en Continuar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
comando	principal.process.command_line	Se asigna directamente desde el campo de registro sin procesar "command".
componente	metadata.product_event_type	Se asigna directamente desde el campo de registro sin procesar "component".
component_name	additional.fields[0].value.string_value	Se asigna directamente desde el campo de registro sin procesar "component_name".
descripción	security_result.description	Se asigna directamente desde el campo de registro sin procesar "description" después del análisis opcional de Grok.
descripción	security_result.detection_fields[0].value	Se extrae del campo "description" con un patrón de Grok. Representa el estado actual.
descripción	security_result.detection_fields[1].value	Se extrae del campo "description" con un patrón de Grok. Representa el estado anterior.
descripción	security_result.detection_fields[2].value	Se extrae del campo "description" con un patrón de Grok. Representa la causa del cambio de estado.
event_timestamp	metadata.event_timestamp	Se asigna directamente desde el campo de registro sin procesar "event_timestamp" después del análisis de la fecha.
Nombre de host	principal.hostname	Se asigna directamente desde el campo de registro sin procesar "hostname".
Nombre de host	principal.asset.hostname	Se copió del campo "principal.hostname" asignado.
internal_code	additional.fields[1].value.string_value	Se asigna directamente desde el campo de registro sin procesar "internal_code".
priority_id	additional.fields[2].value.string_value	Se asigna directamente desde el campo de registro sin procesar "priority_id".
	additional.fields[0].key	Valor estático: "Nombre del componente".
	additional.fields[1].key	Valor estático: "Código interno".
	additional.fields[2].key	Valor estático: "ID de prioridad".
	metadata.event_type	Se establece en "STATUS_UPDATE" si se extrae correctamente "principal.hostname". De lo contrario, se establece en "GENERIC_EVENT".
	metadata.vendor_name	Valor estático: "HP".
	metadata.product_name	Valor estático: "HPE BladeSystem c7000".
	metadata.log_type	Valor estático: "HPE_BLADESYSTEM_C7000".
	security_result.severity	Se asigna desde el campo "gravedad" según la siguiente lógica: - "Crítica" -> "CRITICAL" - "Grave" -> "HIGH" - "Advertencia" -> "MEDIUM" - "Info", "Leve" -> "LOW" - Default -> "UNKNOWN_SEVERITY"
	security_result.detection_fields[0].key	Valor estático: "Estado actual".
	security_result.detection_fields[1].key	Valor estático: "Estado anterior".
	security_result.detection_fields[2].key	Valor estático: "Causa".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.