Diese Seite wurde von der Cloud Translation API übersetzt.

HPE iLO-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie HPE iLO-Logs (Hewlett Packard Enterprise Integrated Lights-Out) mit Bindplane in Google Security Operations aufnehmen. Der Parsercode versucht zuerst, die Roh-Lognachricht als JSON zu parsen. Andernfalls werden mithilfe von regulären Ausdrücken (grok-Mustern) Felder aus der Nachricht basierend auf gängigen HP iLO-Protokollformaten extrahiert.

Hinweise

Folgende Voraussetzungen müssen erfüllt sein:

Google SecOps-Instanz
Windows 2016 oder höher oder Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf HPE iLO

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in HP iLO konfigurieren

Melden Sie sich in der HPE iLO-Web-Benutzeroberfläche an.
Rufen Sie den Tab Verwaltung > Remote Syslog auf.
Klicken Sie auf Enable (Aktivieren), um iLO Remote Syslog zu aktivieren.
Geben Sie die folgenden Konfigurationsdetails an:
- Remote Syslog Port: Geben Sie die Bindplane-Portnummer ein (z. B. 514).
- Remote Syslog Server: Geben Sie die Bindplane-IP-Adresse ein.
Klicken Sie auf Test-Syslog senden und prüfen Sie, ob es in Google SecOps eingegangen ist.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`data`		Dieses Feld wird basierend auf seinem Inhalt analysiert und verschiedenen UDM-Feldern zugeordnet.
`data.HOSTNAME`	principal.hostname	Wird zugeordnet, wenn das erste Grok-Muster im Feld „message“ übereinstimmt oder das Feld „description“ „Host“ enthält. Bestimmt, ob „event_type“ STATUS_UPDATE ist.
`data.HOSTNAME`	network.dns.questions.name	Wird vom Grok-Muster „DATA“ in „message“ ausgefüllt. Wird zum Ausfüllen von „dns.questions“ verwendet, wenn der Wert nicht leer ist und „(?i)not found“ nicht enthält.
`data.HOSTNAME`	target.user.user_display_name	Wird vom Grok-Muster „DATA“ in „message“ ausgefüllt.
`data.IP`	target.ip	Wird anhand von Grok-Mustern ausgefüllt, die mit „IP“ in „message“ oder „summary“ übereinstimmen.
`data.WORD`	metadata.product_event_type	Wird anhand des Grok-Musters „WORT“ in „Nachricht“ ausgefüllt.
`data.GREEDYDATA`	security_result.summary	Wird anhand des Grok-Musters „GREEDYDATA“ in „message“ ausgefüllt. Wird verwendet, um „network.application_protocol“ und „event_type“ anhand des Inhalts zu bestimmen.
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	Wird vom Datums-Plug-in basierend auf verschiedenen Zeitstempelformaten ausgefüllt.
`data.MONTHNUM`		Nicht zugeordnet
`data.MONTHDAY`		Nicht zugeordnet
`data.YEAR`		Nicht zugeordnet
`data.TIME`		Nicht zugeordnet
`data.HOST`	principal.hostname	Wird zugeordnet, wenn das zweite Grok-Muster im Feld „message“ übereinstimmt.
`data.INT`		Nicht zugeordnet
`data.UserAgent`	network.http.user_agent	Wird zugeordnet, wenn das Feld `description` `User-Agent` enthält.
`data.Connection`	security_result.description	Wird zugeordnet, wenn das Feld `description` `Connection` enthält.
–	metadata.event_type	Die Standardeinstellung ist `GENERIC_EVENT`. Wird in `STATUS_UPDATE` geändert, wenn `data.HOSTNAME` erfolgreich principal.hostname zugeordnet wurde, in `NETWORK_DNS`, wenn `question` ausgefüllt ist, oder in `USER_LOGIN`, wenn `summary` `Browser login` enthält.
–	metadata.vendor_name	Hartcodiert auf `HP`.
–	metadata.log_type	Legen Sie `HPE_ILO` fest.
–	network.application_protocol	Wird auf `LDAP` gesetzt, wenn `summary` `LDAP` enthält, oder auf `DNS`, wenn `question` ausgefüllt ist.
–	extensions.auth.type	Wird auf `MACHINE` gesetzt, wenn `summary` `Browser login` enthält.

Änderungen

2023-11-27

Fehlerkorrektur:

Setzen Sie metadata.event_type auf USER_LOGIN, wenn die Protokolle vom Typ Browser Login sind.
Setzen Sie metadata_event_type auf STATUS_UPDATE, wenn principal.hostname vorhanden ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten