Coletar registros do HPE iLO

Compatível com:

Este documento explica como transferir os registros do HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) para o Google Security Operations usando o Bindplane. O código do analisador primeiro tenta analisar a mensagem de registro bruta como JSON. Se isso falhar, ele vai usar expressões regulares (padrões grok) para extrair campos da mensagem com base nos formatos de registro comuns do HP iLO.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou host Linux com systemd
  • Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao HPE iLO

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

  2. Edite o arquivo config.yaml da seguinte forma:

            receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o Syslog no HP iLO

  1. Faça login na interface da Web do HPE iLO.
  2. Acesse a guia Gerenciamento > Syslog remoto.
  3. Clique em Ativar iLO Syslog remoto.
  4. Informe os seguintes detalhes de configuração:
    • Porta syslog remota: insira o número da porta do Bindplane (por exemplo, 514).
    • Servidor syslog remoto: insira o endereço IP do Bindplane.
  5. Clique em Enviar Syslog de teste e valide se ele foi recebido no Google SecOps.
  6. Clique em Aplicar.

Tabela de mapeamento da UDM

Campo de registro Mapeamento de UDM Lógica
data Esse campo é analisado e associado a vários campos do UDM com base no conteúdo.
data.HOSTNAME principal.hostname É mapeado quando o primeiro padrão de grok no campo "message" corresponde ou quando o campo "description" contém "Host". Determina se event_type é STATUS_UPDATE.
data.HOSTNAME network.dns.questions.name Preenchido pelo padrão grok que corresponde a "DADOS" em "mensagem". É usado para preencher dns.questions se não estiver vazio e não contiver "(?i)not found".
data.HOSTNAME target.user.user_display_name Preenchido pelo padrão grok que corresponde a "DADOS" em "mensagem".
data.IP target.ip Preenchido por padrões de grok que correspondem a "IP" em "mensagem" ou "resumo".
data.WORD metadata.product_event_type Preenchido por correspondência de padrão grok "PALAVRA" em "mensagem".
data.GREEDYDATA security_result.summary Preenchido pelo padrão grok que corresponde a "GREEDYDATA" em "message". Usado para determinar network.application_protocol e event_type com base no conteúdo.
data.TIMESTAMP_ISO8601 metadata.event_timestamp Preenchido pelo plug-in de data com base em vários formatos de carimbo de data/hora.
data.MONTHNUM Não mapeado
data.MONTHDAY Não mapeado
data.YEAR Não mapeado
data.TIME Não mapeado
data.HOST principal.hostname É mapeado quando o segundo padrão de grok no campo "message" corresponde.
data.INT Não mapeado
data.UserAgent network.http.user_agent É mapeado quando o campo description contém User-Agent.
data.Connection security_result.description É mapeado quando o campo description contém Connection.
N/A metadata.event_type O valor padrão é GENERIC_EVENT. Muda para STATUS_UPDATE se data.HOSTNAME for mapeado para principal.hostname, NETWORK_DNS se question for preenchido ou USER_LOGIN se summary contiver Browser login.
N/A metadata.vendor_name Fixado em HP.
N/A metadata.log_type Defina como HPE_ILO.
N/A network.application_protocol Defina como LDAP se summary contiver LDAP ou DNS se question estiver preenchido.
N/A extensions.auth.type Defina como MACHINE se summary contiver Browser login.

Alterações

2023-11-27

Correção de bugs:

  • Defina metadata.event_type como USER_LOGIN se os registros forem do tipo Browser Login.
  • Defina metadata_event_type como STATUS_UPDATE se principal.hostname estiver presente.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.