このページは Cloud Translation API によって翻訳されました。

Infoblox のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Infoblox ログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル INFOBLOX_DNS が付加されたパーサーに適用されます。

Infoblox を構成する

Infoblox ウェブ UI にログインします。
Infoblox のウェブ UI で、[System] > [System properties editor] > [Monitoring] を選択します。
[Log to external syslog servers] チェックボックスをオンにします。
[External syslog servers] セクションで、プラス記号 (+) をクリックして、Google Security Operations フォワーダーの新しい Syslog サーバーを追加します。
[Address] フィールドに、Google Security Operations フォワーダーサーバー IP アドレスを入力します。
[トランスポート] リストで、[TCP] または [UDP] を選択します。
[Port] フィールドにポート番号を入力します。
[Node ID] リストで [LAN] を選択し、Syslog ヘッダーに Infoblox IP を含めます。
[Available] リストから次の項目を選択し、[Selected] リストに移動します。
- DNS queries
- DNS responses
- DHCP process

Infoblox サーバーは、syslog を使用してクエリログとレスポンスログを Google Security Operations フォワーダーに転送します。

Infoblox のログを取り込むように Google Security Operations フォワーダーと syslog を構成する

[SIEM の設定] > [フォワーダー] を選択します。
[新しいフォワーダーの追加] をクリックします。
[Forwarder name] フィールドに一意の名前を入力します。
[Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[Add collector configuration] ウィンドウが表示されます。
[Collector name] フィールドに、コレクタの一意の名前を入力します。
[Log type] として [Infoblox] を選択します。
[Collector type] として [Syslog] を選択します。
次の入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダータイプの要件については、タイプ別のフォワーダー構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、SYSLOG 形式または CEF 形式の Infoblox DNS ログを抽出し、UDM に正規化します。Grok パターンを使用してさまざまなログ形式を処理し、送信元または宛先 IP、DNS クエリの詳細、セキュリティ情報などのキーフィールドを抽出し、適切な UDM フィールドにマッピングします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`agent.hostname`	`principal.hostname`	CEF 形式のログで、`agent.hostname` が存在する場合は、`principal.hostname` にマッピングされます。
`client_ip`	`principal.ip`	CEF 形式のログで、`client_ip` が存在する場合は、`principal.ip` にマッピングされます。
`client_port`	`principal.port`	CEF 形式のログで、`client_port` が存在する場合は、`principal.port` にマッピングされます。
`data`	`answers.data`	未加工のログの `answers` セクションの `data` フィールドから抽出されます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`description`	`metadata.description`	未加工のログの `description` フィールドから直接マッピングされるか、`message` や `msg2` などの他のフィールドから Grok パターンを使用して抽出されます。
`dest_ip1`	`target.ip`	未加工ログから抽出され、`target.ip` にマッピングされます。
`destinationDnsDomain`	`dns_question.name`	CEF 形式のログで、`destinationDnsDomain` が存在する場合は、`dns_question.name` にマッピングされます。
`dns_class`	`dns_question.class`	`dns_query_class_mapping.include` ルックアップテーブルを使用してマッピングされます。
`dns_domain`	`dns_question.name`	Grok パターンを使用して未加工のログの `message` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_name`	`dns_question.name`	Grok パターンを使用して `dns_domain` フィールドから抽出され、`dns_question.name` にマッピングされます。
`dns_records`	`answers.data`	CEF 形式のログで、`dns_records` が存在する場合は、`answers.data` にマッピングされます。複数の出現は、個別の `answers` オブジェクトとしてマッピングされます。
`dst_ip`	`target.ip` または `target.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。
`dst_ip1`	`target.ip` または `target.hostname`	未加工のログの `message` フィールドまたは `msg2` フィールドから、grok パターンを使用して抽出されます。有効な IP アドレスの場合は `target.ip` にマッピングされ、それ以外の場合は `target.hostname` にマッピングされます。`dst_ip` と異なる場合にのみマッピングされます。
`evt_type`	`metadata.product_event_type`	未加工のログの `evt_type` フィールドから直接マッピングされます。このフィールドは、Grok パターンを使用して `message` フィールドから抽出されます。
`InfobloxB1OPHIPAddress`	`principal.ip`	CEF 形式のログで、`InfobloxB1OPHIPAddress` が存在する場合は、`principal.ip` にマッピングされます。
`InfobloxB1Region`	`principal.location.country_or_region`	CEF 形式のログで、`InfobloxB1Region` が存在する場合は、`principal.location.country_or_region` にマッピングされます。
`InfobloxDNSQType`	`dns_question.type`	CEF 形式のログで、`InfobloxDNSQType` が存在する場合は、`dns_question.type` にマッピングされます。
`intermediary`	`intermediary.ip` または `intermediary.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `intermediary.ip` にマッピングされ、それ以外の場合は `intermediary.hostname` にマッピングされます。
`msg2`	`metadata.description`, `dns.response_code`, `dns_question.name`, `target.ip`, `target.hostname`, `answers.name`, `answers.ttl`, `answers.data`, `answers.class`, `answers.type`, `security_result.severity`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。さまざまなフィールドの抽出に使用されますが、UDM に直接マッピングされません。
`name1`	`answers.name`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`name2`	`answers.name`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.name` にマッピングされます。
`protocol`	`network.ip_protocol`	既知のプロトコルと一致する場合は、未加工のログの `protocol` フィールドから直接マッピングされます。
`qclass`	`dns_question.class`	`dns_class` を UDM にマッピングするために使用される中間フィールド。
`qclass1`	`answers.class`	`dns_class1` を UDM にマッピングするために使用される中間フィールド。
`qclass2`	`answers.class`	`dns_class2` を UDM にマッピングするために使用される中間フィールド。
`query_type`	`dns_question.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type1`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`query_type2`	`answers.type`	`dns_record_type.include` ルックアップテーブルを使用してマッピングされます。
`recursion_flag`	`network.dns.recursion_desired`	`recursion_flag` に「+」が含まれている場合、`network.dns.recursion_desired` に true としてマッピングされます。
`record_type`	`dns_question.type`	`query_type` を UDM にマッピングするために使用される中間フィールド。
`record_type1`	`answers.type`	`query_type1` を UDM にマッピングするために使用される中間フィールド。
`record_type2`	`answers.type`	`query_type2` を UDM にマッピングするために使用される中間フィールド。
`res_code`	`network.dns.response_code`	`dns_response_code.include` ルックアップテーブルを使用してマッピングされます。
`response_code`	`network.dns.response_code`	CEF 形式のログで、`response_code` が存在する場合は、`dns_response_code.include` ルックアップテーブルを使用して `network.dns.response_code` にマッピングされます。
`security_action`	`security_result.action`	`status` フィールドから取得されます。`status` が「denied」の場合、`security_action` は「BLOCK」に設定されます。それ以外の場合は、「ALLOW」に設定されます。
`severity`	`security_result.severity`	CEF 形式のログで、`severity` が存在し、その内容が「informational」の場合は、「INFORMATIONAL」として `security_result.severity` にマッピングされます。
`src_host`	`principal.hostname`	Grok パターンを使用して未加工のログの `description` フィールドまたは `message` フィールドから抽出され、`principal.hostname` にマッピングされます。
`src_ip`	`principal.ip` または `principal.hostname`	Grok パターンを使用して、未加工のログの `message` フィールドから抽出されます。有効な IP アドレスの場合は `principal.ip` にマッピングされ、それ以外の場合は `principal.hostname` にマッピングされます。
`src_port`	`principal.port`	Grok パターンを使用して未加工のログの `message` フィールドから抽出され、`principal.port` にマッピングされます。
`ttl1`	`answers.ttl`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`ttl2`	`answers.ttl`	Grok パターンを使用して未加工のログの `msg2` フィールドから抽出され、`answers.ttl` にマッピングされます。
`metadata.event_type`	`metadata.event_type`	さまざまなフィールドとパーサーロジックから取得されます。他のイベントタイプが特定されていない場合、デフォルトは `GENERIC_EVENT` です。の可能な値は、`NETWORK_DNS`、`NETWORK_CONNECTION`、`STATUS_UPDATE` などです。
`metadata.log_type`	`metadata.log_type`	パーサーによって「INFOBLOX_DNS」に設定されます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「Infoblox DNS」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「INFOBLOX」に設定されます。
`metadata.product_version`	`metadata.product_version`	CEF メッセージから抽出されます。
`metadata.event_timestamp`	`metadata.event_timestamp`	`timestamp` フィールドからコピーされます。
`network.application_protocol`	`network.application_protocol`	`event_type` が「GENERIC_EVENT」または「STATUS_UPDATE」でない場合は、「DNS」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。