Recolha registos do HPE BladeSystem c7000

Este documento explica como carregar registos do HPE BladeSystem C7000 para o Google Security Operations através do Bindplane. O código do analisador extrai campos de mensagens syslog do HPE BladeSystem c7000 através de expressões regulares e, em seguida, mapeia esses campos para um modelo de dados unificado (UDM), ao mesmo tempo que enriquece os dados com contexto adicional, como níveis de gravidade e etiquetas descritivas. Processa várias estruturas de mensagens de registo, oferecendo uma representação consistente para a monitorização e a análise de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Windows 2016 ou posterior, ou um anfitrião Linux com systemd
• Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
• Acesso privilegiado ao HPE Grid Manager

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'HPE_BLADESYSTEM_C7000'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

1. Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

   sudo systemctl restart bindplane-agent
   

2. Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

   net stop BindPlaneAgent && net start BindPlaneAgent
   

Configure o Syslog diretamente no HPE BladeSystem

1. Inicie sessão na IU do BladeSystem.
2. Aceda a Configuração > Registo do sistema.
3. Clique no separador Opções de registo.
4. Selecione a caixa de verificação Ativar registo do sistema remoto.
5. Indique os seguintes detalhes de configuração:
   • Endereço do servidor Syslog: introduza o endereço IP do agente do Bindplane.
   • Porta: introduza o número da porta do agente Bindplane (a porta predefinida é 514).
   • Protocolo: o protocolo é sempre UDP.
6. Clique em Testar registo remoto e verifique se os registos são recebidos.
7. Clique em Aplicar para guardar.

Configure o Syslog no software StorageGRID

Pode configurar os níveis de mensagens de auditoria no StorageGRID e configurar servidores Syslog externos para encaminhar estas mensagens.

Configure os níveis de mensagens de auditoria do StorageGRID

1. Inicie sessão na IU Web do GRID Manage.
2. Aceda a Configuração > Monitorização > Servidor de auditoria e syslog.
3. Para cada categoria de mensagem de auditoria, selecione o nível de auditoria Normal na lista.
4. Clique em Guardar.

Configure o servidor Syslog externo do StorageGRID

1. Na página Servidor de auditoria e syslog, clique em Configurar servidor syslog externo.
2. Indique os seguintes detalhes de configuração:
   • Introduza as informações do syslog: introduza o endereço IP do agente Bindplane.
   • Introduza o número da porta do agente Bindplane (a porta predefinida é 514).
   • Selecione o protocolo UDP ou TCP, consoante a configuração do agente Bindplane.
3. Clique em Continuar.

Configure eventos Syslog

1. No passo Gerir conteúdo do syslog do assistente, selecione cada tipo de informações de auditoria que quer enviar para o servidor syslog externo.
   • Envie registos de auditoria
   • Envie eventos de segurança
   • Envie registos da aplicação
   • Envie registos de acesso
2. Para Gravidade, selecione Passthrough ou 7 (Informacional).
3. Para Instalação, selecione Transferência.
4. Clique em Continuar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
comando	principal.process.command_line	Mapeado diretamente a partir do campo de registo não processado "command".
componente	metadata.product_event_type	Mapeado diretamente a partir do campo de registo não processado "component".
component_name	additional.fields[0].value.string_value	Mapeado diretamente a partir do campo de registo não processado "component_name".
descrição	security_result.description	Mapeado diretamente a partir do campo de registo não processado "description" após a análise grok opcional.
descrição	security_result.detection_fields[0].value	Extraído do campo "description" através de um padrão grok. Representa o estado atual.
descrição	security_result.detection_fields[1].value	Extraído do campo "description" através de um padrão grok. Representa o estado anterior.
descrição	security_result.detection_fields[2].value	Extraído do campo "description" através de um padrão grok. Representa a causa da alteração de estado.
event_timestamp	metadata.event_timestamp	Mapeado diretamente a partir do campo de registo não processado "event_timestamp" após a análise da data.
hostname	principal.hostname	Mapeado diretamente a partir do campo de registo não processado "hostname".
hostname	principal.asset.hostname	Copiado do campo "principal.hostname" mapeado.
internal_code	additional.fields[1].value.string_value	Mapeado diretamente a partir do campo de registo não processado "internal_code".
priority_id	additional.fields[2].value.string_value	Mapeado diretamente a partir do campo de registo não processado "priority_id".
	additional.fields[0].key	Valor estático: "Nome do componente".
	additional.fields[1].key	Valor estático: "Código interno".
	additional.fields[2].key	Valor estático: "ID da prioridade".
	metadata.event_type	Definido como "STATUS_UPDATE" se "principal.hostname" for extraído com êxito. Caso contrário, é definido como "GENERIC_EVENT".
	metadata.vendor_name	Valor estático: "HP".
	metadata.product_name	Valor estático: "HPE BladeSystem c7000".
	metadata.log_type	Valor estático: "HPE_BLADESYSTEM_C7000".
	security_result.severity	Mapeado a partir do campo "gravidade" com base na seguinte lógica: - "Crítico" -> "CRITICAL" - "Principal" -> "HIGH" - "Aviso" -> "MEDIUM" - "Informação", "Menor" -> "LOW" - Predefinição -> "UNKNOWN_SEVERITY"
	security_result.detection_fields[0].key	Valor estático: "Estado atual".
	security_result.detection_fields[1].key	Valor estático: "Estado anterior".
	security_result.detection_fields[2].key	Valor estático: "Cause".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.