Recopila registros de Infoblox

Compatible con:

En este documento, se describe cómo puedes recopilar registros de Infoblox con un reenvío de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia INFOBLOX_DNS.

Configura Infoblox

  1. Accede a la IU web de Infoblox.
  2. En la IU web de Infoblox, selecciona System > System properties editor > Monitoring.
  3. Selecciona la casilla de verificación Registrar en servidores syslog externos.
  4. En la sección External syslog servers, haz clic en el signo más (+) para agregar un nuevo servidor syslog para el reenvío de Google Security Operations.
  5. En el campo Dirección, ingresa la dirección IP del servidor de reenvío de Operaciones de seguridad de Google.
  6. En la lista Transporte, selecciona TCP o UDP.
  7. En el campo Puerto, ingresa el número de puerto.
  8. En la lista ID del nodo, selecciona LAN para incluir la IP de Infoblox en el encabezado de syslog.
  9. En la lista Available, selecciona los siguientes elementos y muévelos a la lista Selected:
    • Consultas de DNS
    • Respuestas de DNS
    • Proceso de DHCP

El servidor de Infoblox reenvía los registros de consultas y respuestas a través de syslog al reenvío de operaciones de seguridad de Google.

Configura el reenviador y el syslog de Google Security Operations para transferir registros de Infoblox

  1. Selecciona SIEM Settings > Forwarders.
  2. Haz clic en Agregar un nuevo reenvío.
  3. Ingresa un nombre único en el campo Nombre del reenvío.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
  6. Selecciona Infoblox como el Tipo de registro.
  7. Selecciona Syslog como el Tipo de recopilador.
  8. Configura los siguientes parámetros de entrada:
    • Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de Syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de Syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los retransmisores de Google Security Operations, consulta la documentación de los retransmisores de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenvío, consulta Configuración del reenvío por tipo.

Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae los registros de DNS de Infoblox en formato SYSLOG o CEF, y los normaliza en el UDM. Maneja varios formatos de registro con patrones de Grok, extrae campos clave, como la IP de origen o destino, los detalles de la consulta de DNS y la información de seguridad, y los asigna a los campos correspondientes del UDM.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
agent.hostname principal.hostname En el caso de los registros con formato CEF, si existe agent.hostname, se asigna a principal.hostname.
client_ip principal.ip En el caso de los registros con formato CEF, si existe client_ip, se asigna a principal.ip.
client_port principal.port En el caso de los registros con formato CEF, si existe client_port, se asigna a principal.port.
data answers.data Se extrae del campo data de la sección answers en el registro sin procesar. Las múltiples ocurrencias se asignan como objetos answers separados.
description metadata.description Se asigna directamente desde el campo description del registro sin procesar o se extrae con patrones de Grok de otros campos, como message y msg2.
dest_ip1 target.ip Se extrae del registro sin procesar y se asigna a target.ip.
destinationDnsDomain dns_question.name En el caso de los registros con formato CEF, si existe destinationDnsDomain, se asigna a dns_question.name.
dns_class dns_question.class Se asigna con la tabla de búsqueda dns_query_class_mapping.include.
dns_domain dns_question.name Se extrae del campo message del registro sin procesar con patrones de Grok y se asigna a dns_question.name.
dns_name dns_question.name Se extrae del campo dns_domain con patrones de Grok y se asigna a dns_question.name.
dns_records answers.data En el caso de los registros con formato CEF, si existe dns_records, se asigna a answers.data. Las múltiples ocurrencias se asignan como objetos answers separados.
dst_ip target.ip o target.hostname Se extrae del campo message del registro sin procesar con patrones de Grok. Si es una dirección IP válida, se asigna a target.ip; de lo contrario, se asigna a target.hostname.
dst_ip1 target.ip o target.hostname Se extrae del campo message o msg2 del registro sin procesar con patrones de Grok. Si es una dirección IP válida, se asigna a target.ip; de lo contrario, se asigna a target.hostname. Solo se asigna si es diferente de dst_ip.
evt_type metadata.product_event_type Se asigna directamente desde el campo evt_type del registro sin procesar, que se extrae del campo message con patrones de Grok.
InfobloxB1OPHIPAddress principal.ip En el caso de los registros con formato CEF, si existe InfobloxB1OPHIPAddress, se asigna a principal.ip.
InfobloxB1Region principal.location.country_or_region En el caso de los registros con formato CEF, si existe InfobloxB1Region, se asigna a principal.location.country_or_region.
InfobloxDNSQType dns_question.type En el caso de los registros con formato CEF, si existe InfobloxDNSQType, se asigna a dns_question.type.
intermediary intermediary.ip o intermediary.hostname Se extrae del campo message del registro sin procesar con patrones de Grok. Si es una dirección IP válida, se asigna a intermediary.ip; de lo contrario, se asigna a intermediary.hostname.
msg2 metadata.description, dns.response_code, dns_question.name, target.ip, target.hostname, answers.name, answers.ttl, answers.data, answers.class, answers.type, security_result.severity Se extrae del campo message del registro sin procesar con patrones de Grok. Se usa para extraer varios campos, pero no se asigna directamente al UDM.
name1 answers.name Se extrae del campo msg2 del registro sin procesar con patrones de Grok y se asigna a answers.name.
name2 answers.name Se extrae del campo msg2 del registro sin procesar con patrones de Grok y se asigna a answers.name.
protocol network.ip_protocol Se asigna directamente desde el campo protocol del registro sin procesar si coincide con protocolos conocidos.
qclass dns_question.class Es un campo intermedio que se usa para asignar dns_class al UDM.
qclass1 answers.class Es un campo intermedio que se usa para asignar dns_class1 al UDM.
qclass2 answers.class Es un campo intermedio que se usa para asignar dns_class2 al UDM.
query_type dns_question.type Se asigna con la tabla de búsqueda dns_record_type.include.
query_type1 answers.type Se asigna con la tabla de búsqueda dns_record_type.include.
query_type2 answers.type Se asigna con la tabla de búsqueda dns_record_type.include.
recursion_flag network.dns.recursion_desired Si recursion_flag contiene un signo "+", se asigna a network.dns.recursion_desired como verdadero.
record_type dns_question.type Es un campo intermedio que se usa para asignar query_type al UDM.
record_type1 answers.type Es un campo intermedio que se usa para asignar query_type1 al UDM.
record_type2 answers.type Es un campo intermedio que se usa para asignar query_type2 al UDM.
res_code network.dns.response_code Se asigna con la tabla de búsqueda dns_response_code.include.
response_code network.dns.response_code En el caso de los registros con formato CEF, si existe response_code, se asigna a network.dns.response_code con la tabla de búsqueda dns_response_code.include.
security_action security_result.action Se deriva del campo status. Si status es "denied", security_action se establece en "BLOCK"; de lo contrario, se establece en "ALLOW".
severity security_result.severity En el caso de los registros con formato CEF, si severity existe y es "informativo", se asigna a security_result.severity como "INFORMATIONAL".
src_host principal.hostname Se extrae del campo description o message del registro sin procesar con patrones de Grok y se asigna a principal.hostname.
src_ip principal.ip o principal.hostname Se extrae del campo message del registro sin procesar con patrones de Grok. Si es una dirección IP válida, se asigna a principal.ip; de lo contrario, se asigna a principal.hostname.
src_port principal.port Se extrae del campo message del registro sin procesar con patrones de Grok y se asigna a principal.port.
ttl1 answers.ttl Se extrae del campo msg2 del registro sin procesar con patrones de Grok y se asigna a answers.ttl.
ttl2 answers.ttl Se extrae del campo msg2 del registro sin procesar con patrones de Grok y se asigna a answers.ttl.
metadata.event_type metadata.event_type Se deriva de varios campos y de la lógica del analizador. El valor predeterminado es GENERIC_EVENT si no se identifica ningún otro tipo de evento. Los valores posibles son NETWORK_DNS, NETWORK_CONNECTION y STATUS_UPDATE.
metadata.log_type metadata.log_type El analizador lo establece en "INFOBLOX_DNS".
metadata.product_name metadata.product_name El analizador lo establece en "Infoblox DNS".
metadata.vendor_name metadata.vendor_name El analizador lo establece en "INFOBLOX".
metadata.product_version metadata.product_version Se extrae de los mensajes de CEF.
metadata.event_timestamp metadata.event_timestamp Se copió del campo timestamp.
network.application_protocol network.application_protocol Se establece en "DNS" si event_type no es "GENERIC_EVENT" ni "STATUS_UPDATE".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.