Infoblox-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Infoblox-Logs mithilfe eines Google Security Operations-Forwarders erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label INFOBLOX_DNS.

Infoblox konfigurieren

  1. Melden Sie sich in der Infoblox-Web-UI an.
  2. Wählen Sie in der Infoblox-Web-UI System > System properties editor > Monitoring aus.
  3. Aktivieren Sie das Kästchen Auf externen Syslog-Servern protokollieren.
  4. Klicken Sie im Bereich Externe Syslog-Server auf das Pluszeichen (+), um einen neuen Syslog-Server für den Google Security Operations-Forwarder hinzuzufügen.
  5. Geben Sie im Feld Adresse die IP-Adresse des Google Security Operations-Forwarder-Servers ein.
  6. Wählen Sie in der Liste Transport entweder TCP oder UDP aus.
  7. Geben Sie im Feld Port die Portnummer ein.
  8. Wählen Sie in der Liste Node ID (Knoten-ID) die Option LAN aus, um die Infoblox-IP-Adresse in den Syslog-Header aufzunehmen.
  9. Wählen Sie in der Liste Verfügbar die folgenden Elemente aus und verschieben Sie sie in die Liste Ausgewählt:
    • DNS-Anfragen
    • DNS-Antworten
    • DHCP-Prozess

Der Infoblox-Server leitet die Anfrage- und Antwortlogs über Syslog an den Google Security Operations-Forwarder weiter.

Google Security Operations-Forwarder und Syslog zum Erfassen von Infoblox-Logs konfigurieren

  1. Wählen Sie SIEM Settings > Forwarders aus.
  2. Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
  3. Geben Sie im Feld Name des Forwarders einen eindeutigen Namen ein.
  4. Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  6. Wählen Sie Infoblox als Logtyp aus.
  7. Wählen Sie Syslog als Collector-Typ aus.
  8. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Empfangen von Syslog-Daten verwendet.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und auf dem er auf Syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Infoblox-DNS-Logs im SYSLOG- oder CEF-Format und normalisiert sie in UDM. Es verarbeitet verschiedene Logformate mithilfe von Grok-Mustern, extrahiert wichtige Felder wie Quell- oder Ziel-IP, DNS-Abfragedetails und Sicherheitsinformationen und ordnet sie den entsprechenden UDM-Feldern zu.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
agent.hostname principal.hostname Bei Logs im CEF-Format wird agent.hostname, falls vorhanden, principal.hostname zugeordnet.
client_ip principal.ip Bei Logs im CEF-Format wird client_ip, falls vorhanden, principal.ip zugeordnet.
client_port principal.port Bei Logs im CEF-Format wird client_port, falls vorhanden, principal.port zugeordnet.
data answers.data Wird aus dem Feld data des Abschnitts answers im Rohlog extrahiert. Mehrere Vorkommen werden als separate answers-Objekte abgebildet.
description metadata.description Direkt aus dem Feld description des Rohlogs zugeordnet oder mithilfe von Grok-Mustern aus anderen Feldern wie message und msg2 extrahiert.
dest_ip1 target.ip Aus dem Rohlog extrahiert und target.ip zugeordnet.
destinationDnsDomain dns_question.name Bei Logs im CEF-Format wird destinationDnsDomain, falls vorhanden, dns_question.name zugeordnet.
dns_class dns_question.class Wird mithilfe der dns_query_class_mapping.include-Nachschlagetabelle zugeordnet.
dns_domain dns_question.name Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert und dns_question.name zugeordnet.
dns_name dns_question.name Aus dem Feld dns_domain mit Grok-Mustern extrahiert und dns_question.name zugeordnet.
dns_records answers.data Bei Logs im CEF-Format wird dns_records, falls vorhanden, answers.data zugeordnet. Mehrere Vorkommen werden als separate answers-Objekte abgebildet.
dst_ip target.ip oder target.hostname Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie target.ip zugeordnet. Andernfalls wird sie target.hostname zugeordnet.
dst_ip1 target.ip oder target.hostname Mit Grok-Mustern aus dem Feld message oder msg2 des Rohlogs extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie target.ip zugeordnet. Andernfalls wird sie target.hostname zugeordnet. Wird nur zugeordnet, wenn sie sich von dst_ip unterscheidet.
evt_type metadata.product_event_type Direkt aus dem Feld evt_type des Rohlogs zugeordnet, das mithilfe von Grok-Mustern aus dem Feld message extrahiert wird.
InfobloxB1OPHIPAddress principal.ip Bei Logs im CEF-Format wird InfobloxB1OPHIPAddress, falls vorhanden, principal.ip zugeordnet.
InfobloxB1Region principal.location.country_or_region Bei Logs im CEF-Format wird InfobloxB1Region, falls vorhanden, principal.location.country_or_region zugeordnet.
InfobloxDNSQType dns_question.type Bei Logs im CEF-Format wird InfobloxDNSQType, falls vorhanden, dns_question.type zugeordnet.
intermediary intermediary.ip oder intermediary.hostname Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie intermediary.ip zugeordnet. Andernfalls wird sie intermediary.hostname zugeordnet.
msg2 metadata.description, dns.response_code, dns_question.name, target.ip, target.hostname, answers.name, answers.ttl, answers.data, answers.class, answers.type, security_result.severity Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert. Wird zum Extrahieren verschiedener Felder verwendet, aber nicht direkt UDM zugeordnet.
name1 answers.name Aus dem Feld msg2 des Rohlogs mit Grok-Mustern extrahiert und answers.name zugeordnet.
name2 answers.name Aus dem Feld msg2 des Rohlogs mit Grok-Mustern extrahiert und answers.name zugeordnet.
protocol network.ip_protocol Direkt aus dem Feld protocol des Rohlogs zugeordnet, wenn es mit bekannten Protokollen übereinstimmt.
qclass dns_question.class Zwischenfeld, das für die Zuordnung von dns_class zum UDM verwendet wird.
qclass1 answers.class Zwischenfeld, das für die Zuordnung von dns_class1 zum UDM verwendet wird.
qclass2 answers.class Zwischenfeld, das für die Zuordnung von dns_class2 zum UDM verwendet wird.
query_type dns_question.type Wird mithilfe der dns_record_type.include-Nachschlagetabelle zugeordnet.
query_type1 answers.type Wird mithilfe der dns_record_type.include-Nachschlagetabelle zugeordnet.
query_type2 answers.type Wird mithilfe der dns_record_type.include-Nachschlagetabelle zugeordnet.
recursion_flag network.dns.recursion_desired Wenn recursion_flag ein „+“ enthält, wird es als „true“ auf network.dns.recursion_desired abgebildet.
record_type dns_question.type Zwischenfeld, das für die Zuordnung von query_type zum UDM verwendet wird.
record_type1 answers.type Zwischenfeld, das für die Zuordnung von query_type1 zum UDM verwendet wird.
record_type2 answers.type Zwischenfeld, das für die Zuordnung von query_type2 zum UDM verwendet wird.
res_code network.dns.response_code Wird mithilfe der dns_response_code.include-Nachschlagetabelle zugeordnet.
response_code network.dns.response_code Bei Logs im CEF-Format wird response_code, sofern vorhanden, mithilfe der dns_response_code.include-Nachschlagetabelle network.dns.response_code zugeordnet.
security_action security_result.action Abgeleitet aus dem Feld status. Wenn status „denied“ ist, wird security_action auf „BLOCK“ gesetzt. Andernfalls wird es auf „ALLOW“ gesetzt.
severity security_result.severity Wenn severity in CEF-formatierten Logs vorhanden ist und den Wert „informational“ hat, wird es security_result.severity mit dem Wert „INFORMATIONAL“ zugeordnet.
src_host principal.hostname Aus dem Feld description oder message des Rohlogs mit Grok-Mustern extrahiert und principal.hostname zugeordnet.
src_ip principal.ip oder principal.hostname Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert. Wenn es sich um eine gültige IP-Adresse handelt, wird sie principal.ip zugeordnet. Andernfalls wird sie principal.hostname zugeordnet.
src_port principal.port Aus dem Feld message des Rohlogs mit Grok-Mustern extrahiert und principal.port zugeordnet.
ttl1 answers.ttl Aus dem Feld msg2 des Rohlogs mit Grok-Mustern extrahiert und answers.ttl zugeordnet.
ttl2 answers.ttl Aus dem Feld msg2 des Rohlogs mit Grok-Mustern extrahiert und answers.ttl zugeordnet.
metadata.event_type metadata.event_type Abgeleitet aus verschiedenen Feldern und Parserlogik. Standardmäßig wird GENERIC_EVENT verwendet, wenn kein anderer Ereignistyp identifiziert wird. Mögliche Werte sind NETWORK_DNS, NETWORK_CONNECTION und STATUS_UPDATE.
metadata.log_type metadata.log_type Wird vom Parser auf „INFOBLOX_DNS“ gesetzt.
metadata.product_name metadata.product_name Wird vom Parser auf „Infoblox DNS“ gesetzt.
metadata.vendor_name metadata.vendor_name Wird vom Parser auf „INFOBLOX“ gesetzt.
metadata.product_version metadata.product_version Aus CEF-Nachrichten extrahiert.
metadata.event_timestamp metadata.event_timestamp Aus dem Feld timestamp kopiert.
network.application_protocol network.application_protocol Auf „DNS“ festgelegt, wenn event_type nicht „GENERIC_EVENT“ oder „STATUS_UPDATE“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten