Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Infoblox

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Infoblox menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan INFOBLOX_DNS.

Konfigurasi Infoblox

Login ke UI web Infoblox.
Di UI web Infoblox, pilih System > System properties editor > Monitoring.
Centang kotak Log ke server syslog eksternal.
Di bagian Server syslog eksternal, klik tanda plus (+) untuk menambahkan server syslog baru untuk penerusan Google Security Operations.
Di kolom Address, masukkan alamat IP server penerusan Google Security Operations.
Dalam daftar Transport, pilih TCP atau UDP.
Di kolom Port, masukkan nomor port.
Dalam daftar Node ID, pilih LAN untuk menyertakan IP Infoblox di header syslog.
Dari daftar Tersedia, pilih item berikut dan pindahkan ke daftar Dipilih:
- Kueri DNS
- Respons DNS
- Proses DHCP

Server Infoblox meneruskan log kueri dan respons menggunakan syslog ke penerus Google Security Operations.

Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log Infoblox

Pilih Setelan SIEM > Forwarder.
Klik Tambahkan penerusan baru.
Masukkan nama unik di kolom Nama penerusan.
Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Nama pengumpul, masukkan nama unik untuk pengumpul.
Pilih Infoblox sebagai Jenis log.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input berikut:
- Protokol: tentukan protokol koneksi yang akan digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.

Referensi pemetaan kolom

Parser ini mengekstrak log DNS Infoblox dalam format SYSLOG atau CEF, lalu menormalisasinya ke dalam UDM. Log ini menangani berbagai format log menggunakan pola grok, mengekstrak kolom utama seperti IP sumber atau tujuan, detail kueri DNS, dan informasi keamanan, serta memetakannya ke kolom UDM yang sesuai.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`agent.hostname`	`principal.hostname`	Untuk log berformat CEF, jika `agent.hostname` ada, log tersebut dipetakan ke `principal.hostname`.
`client_ip`	`principal.ip`	Untuk log berformat CEF, jika `client_ip` ada, log tersebut dipetakan ke `principal.ip`.
`client_port`	`principal.port`	Untuk log berformat CEF, jika `client_port` ada, log tersebut dipetakan ke `principal.port`.
`data`	`answers.data`	Diekstrak dari kolom `data` di bagian `answers` dalam log mentah. Beberapa kemunculan dipetakan sebagai objek `answers` terpisah.
`description`	`metadata.description`	Dipetakan langsung dari kolom `description` log mentah atau diekstrak menggunakan pola grok dari kolom lain seperti `message` dan `msg2`.
`dest_ip1`	`target.ip`	Diekstrak dari log mentah dan dipetakan ke `target.ip`.
`destinationDnsDomain`	`dns_question.name`	Untuk log berformat CEF, jika `destinationDnsDomain` ada, log tersebut dipetakan ke `dns_question.name`.
`dns_class`	`dns_question.class`	Dipetakan menggunakan tabel penelusuran `dns_query_class_mapping.include`.
`dns_domain`	`dns_question.name`	Diekstrak dari kolom `message` log mentah menggunakan pola grok dan dipetakan ke `dns_question.name`.
`dns_name`	`dns_question.name`	Diekstrak dari kolom `dns_domain` menggunakan pola grok dan dipetakan ke `dns_question.name`.
`dns_records`	`answers.data`	Untuk log berformat CEF, jika `dns_records` ada, log tersebut dipetakan ke `answers.data`. Beberapa kemunculan dipetakan sebagai objek `answers` terpisah.
`dst_ip`	`target.ip` atau `target.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat IP tersebut dipetakan ke `target.ip`; jika tidak, alamat IP tersebut dipetakan ke `target.hostname`.
`dst_ip1`	`target.ip` atau `target.hostname`	Diekstrak dari kolom `message` atau `msg2` log mentah menggunakan pola grok. Jika alamat IP valid, alamat IP tersebut dipetakan ke `target.ip`; jika tidak, alamat IP tersebut dipetakan ke `target.hostname`. Hanya dipetakan jika berbeda dari `dst_ip`.
`evt_type`	`metadata.product_event_type`	Dipetakan langsung dari kolom `evt_type` log mentah, yang diekstrak dari kolom `message` menggunakan pola grok.
`InfobloxB1OPHIPAddress`	`principal.ip`	Untuk log berformat CEF, jika `InfobloxB1OPHIPAddress` ada, log tersebut dipetakan ke `principal.ip`.
`InfobloxB1Region`	`principal.location.country_or_region`	Untuk log berformat CEF, jika `InfobloxB1Region` ada, log tersebut dipetakan ke `principal.location.country_or_region`.
`InfobloxDNSQType`	`dns_question.type`	Untuk log berformat CEF, jika `InfobloxDNSQType` ada, log tersebut dipetakan ke `dns_question.type`.
`intermediary`	`intermediary.ip` atau `intermediary.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat IP tersebut dipetakan ke `intermediary.ip`; jika tidak, alamat IP tersebut dipetakan ke `intermediary.hostname`.
`msg2`	`metadata.description`, `dns.response_code`, `dns_question.name`, `target.ip`, `target.hostname`, `answers.name`, `answers.ttl`, `answers.data`, `answers.class`, `answers.type`, `security_result.severity`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Digunakan untuk mengekstrak berbagai kolom, tetapi tidak dipetakan langsung ke UDM.
`name1`	`answers.name`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.name`.
`name2`	`answers.name`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.name`.
`protocol`	`network.ip_protocol`	Dipetakan langsung dari kolom `protocol` log mentah jika cocok dengan protokol yang diketahui.
`qclass`	`dns_question.class`	Kolom perantara yang digunakan untuk memetakan `dns_class` ke UDM.
`qclass1`	`answers.class`	Kolom perantara yang digunakan untuk memetakan `dns_class1` ke UDM.
`qclass2`	`answers.class`	Kolom perantara yang digunakan untuk memetakan `dns_class2` ke UDM.
`query_type`	`dns_question.type`	Dipetakan menggunakan tabel penelusuran `dns_record_type.include`.
`query_type1`	`answers.type`	Dipetakan menggunakan tabel penelusuran `dns_record_type.include`.
`query_type2`	`answers.type`	Dipetakan menggunakan tabel penelusuran `dns_record_type.include`.
`recursion_flag`	`network.dns.recursion_desired`	Jika `recursion_flag` berisi "+", maka akan dipetakan ke `network.dns.recursion_desired` sebagai benar.
`record_type`	`dns_question.type`	Kolom perantara yang digunakan untuk memetakan `query_type` ke UDM.
`record_type1`	`answers.type`	Kolom perantara yang digunakan untuk memetakan `query_type1` ke UDM.
`record_type2`	`answers.type`	Kolom perantara yang digunakan untuk memetakan `query_type2` ke UDM.
`res_code`	`network.dns.response_code`	Dipetakan menggunakan tabel penelusuran `dns_response_code.include`.
`response_code`	`network.dns.response_code`	Untuk log berformat CEF, jika `response_code` ada, log tersebut dipetakan ke `network.dns.response_code` menggunakan tabel lookup `dns_response_code.include`.
`security_action`	`security_result.action`	Diperoleh dari kolom `status`. Jika `status` adalah "denied", `security_action` akan disetel ke "BLOCK"; jika tidak, `security_action` akan disetel ke "ALLOW".
`severity`	`security_result.severity`	Untuk log berformat CEF, jika `severity` ada dan "informational", maka akan dipetakan ke `security_result.severity` sebagai "INFORMATIONAL".
`src_host`	`principal.hostname`	Diekstrak dari kolom `description` atau `message` log mentah menggunakan pola grok dan dipetakan ke `principal.hostname`.
`src_ip`	`principal.ip` atau `principal.hostname`	Diekstrak dari kolom `message` log mentah menggunakan pola grok. Jika alamat IP valid, alamat IP tersebut dipetakan ke `principal.ip`; jika tidak, alamat IP tersebut dipetakan ke `principal.hostname`.
`src_port`	`principal.port`	Diekstrak dari kolom `message` log mentah menggunakan pola grok dan dipetakan ke `principal.port`.
`ttl1`	`answers.ttl`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.ttl`.
`ttl2`	`answers.ttl`	Diekstrak dari kolom `msg2` log mentah menggunakan pola grok dan dipetakan ke `answers.ttl`.
`metadata.event_type`	`metadata.event_type`	Diperoleh dari berbagai kolom dan logika parser. Secara default ke `GENERIC_EVENT` jika tidak ada jenis peristiwa lain yang diidentifikasi. Nilai yang mungkin mencakup `NETWORK_DNS`, `NETWORK_CONNECTION`, dan `STATUS_UPDATE`.
`metadata.log_type`	`metadata.log_type`	Ditetapkan ke "INFOBLOX_DNS" oleh parser.
`metadata.product_name`	`metadata.product_name`	Ditetapkan ke "Infoblox DNS" oleh parser.
`metadata.vendor_name`	`metadata.vendor_name`	Ditetapkan ke "INFOBLOX" oleh parser.
`metadata.product_version`	`metadata.product_version`	Diekstrak dari pesan CEF.
`metadata.event_timestamp`	`metadata.event_timestamp`	Disalin dari kolom `timestamp`.
`network.application_protocol`	`network.application_protocol`	Disetel ke "DNS" jika `event_type` bukan "GENERIC_EVENT" atau "STATUS_UPDATE".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.