Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Infoblox

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos do Infoblox através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento INFOBLOX_DNS.

Configure o Infoblox

Inicie sessão na IU da Web do Infoblox.
Na IU Web do Infoblox, selecione Sistema > Editor de propriedades do sistema > Monitorização.
Selecione a caixa de verificação Registar em servidores syslog externos.
Na secção Servidores syslog externos, clique no sinal de mais (+) para adicionar um novo servidor syslog para o encaminhador do Google Security Operations.
No campo Endereço, introduza o endereço IP do servidor de encaminhamento do Google Security Operations.
Na lista Transporte, selecione TCP ou UDP.
No campo Porta, introduza o número da porta.
Na lista ID do nó, selecione LAN para incluir o IP do Infoblox no cabeçalho do syslog.
Na lista Disponível, selecione o seguinte e mova-o para a lista Selecionado:
- Consultas DNS
- Respostas de DNS
- Processo de DHCP

O servidor Infoblox encaminha os registos de consultas e respostas através do syslog para o encaminhador do Google Security Operations.

Configure o encaminhador e o syslog do Google Security Operations para carregar registos do Infoblox

Selecione Definições do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
Introduza um nome exclusivo no campo Nome do encaminhador.
Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
No campo Nome do coletor, introduza um nome exclusivo para o coletor.
Selecione Infoblox como o Tipo de registo.
Selecione Syslog como o tipo de coletor.
Configure os seguintes parâmetros de entrada:
- Protocolo: especifique o protocolo de ligação que o coletor vai usar para ouvir dados syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo.

Se tiver problemas ao criar encaminhamentos, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador extrai registos DNS do Infoblox no formato SYSLOG ou CEF, normalizando-os no UDM. Processa vários formatos de registos através de padrões grok, extrai campos importantes, como o IP de origem ou de destino, detalhes da consulta DNS e informações de segurança, e mapeia-os para os campos UDM adequados.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`agent.hostname`	`principal.hostname`	Para registos formatados em CEF, se `agent.hostname` existir, é mapeado para `principal.hostname`.
`client_ip`	`principal.ip`	Para registos formatados em CEF, se `client_ip` existir, é mapeado para `principal.ip`.
`client_port`	`principal.port`	Para registos formatados em CEF, se `client_port` existir, é mapeado para `principal.port`.
`data`	`answers.data`	Extraído do campo `data` da secção `answers` no registo não processado. Várias ocorrências são mapeadas como objetos `answers` separados.
`description`	`metadata.description`	Mapeado diretamente a partir do campo `description` do registo não processado ou extraído através de padrões grok de outros campos, como `message` e `msg2`.
`dest_ip1`	`target.ip`	Extraído do registo não processado e mapeado para `target.ip`.
`destinationDnsDomain`	`dns_question.name`	Para registos formatados em CEF, se `destinationDnsDomain` existir, é mapeado para `dns_question.name`.
`dns_class`	`dns_question.class`	Mapeado através da tabela de consulta `dns_query_class_mapping.include`.
`dns_domain`	`dns_question.name`	Extraído do campo `message` do registo não processado através de padrões grok e mapeado para `dns_question.name`.
`dns_name`	`dns_question.name`	Extraído do campo `dns_domain` através de padrões grok e mapeado para `dns_question.name`.
`dns_records`	`answers.data`	Para registos formatados em CEF, se `dns_records` existir, é mapeado para `answers.data`. Várias ocorrências são mapeadas como objetos `answers` separados.
`dst_ip`	`target.ip` ou `target.hostname`	Extraído do campo `message` do registo não processado através de padrões grok. Se for um endereço IP válido, é mapeado para `target.ip`; caso contrário, é mapeado para `target.hostname`.
`dst_ip1`	`target.ip` ou `target.hostname`	Extraído do campo `message` ou `msg2` do registo não processado através de padrões grok. Se for um endereço IP válido, é mapeado para `target.ip`; caso contrário, é mapeado para `target.hostname`. Apenas mapeado se for diferente de `dst_ip`.
`evt_type`	`metadata.product_event_type`	Mapeado diretamente a partir do campo `evt_type` do registo não processado, que é extraído do campo `message` através de padrões grok.
`InfobloxB1OPHIPAddress`	`principal.ip`	Para registos formatados em CEF, se `InfobloxB1OPHIPAddress` existir, é mapeado para `principal.ip`.
`InfobloxB1Region`	`principal.location.country_or_region`	Para registos formatados em CEF, se `InfobloxB1Region` existir, é mapeado para `principal.location.country_or_region`.
`InfobloxDNSQType`	`dns_question.type`	Para registos formatados em CEF, se `InfobloxDNSQType` existir, é mapeado para `dns_question.type`.
`intermediary`	`intermediary.ip` ou `intermediary.hostname`	Extraído do campo `message` do registo não processado através de padrões grok. Se for um endereço IP válido, é mapeado para `intermediary.ip`; caso contrário, é mapeado para `intermediary.hostname`.
`msg2`	`metadata.description`, `dns.response_code`, `dns_question.name`, `target.ip`, `target.hostname`, `answers.name`, `answers.ttl`, `answers.data`, `answers.class`, `answers.type`, `security_result.severity`	Extraído do campo `message` do registo não processado através de padrões grok. Usado para extrair vários campos, mas não mapeado diretamente para o UDM.
`name1`	`answers.name`	Extraído do campo `msg2` do registo não processado através de padrões grok e mapeado para `answers.name`.
`name2`	`answers.name`	Extraído do campo `msg2` do registo não processado através de padrões grok e mapeado para `answers.name`.
`protocol`	`network.ip_protocol`	Mapeado diretamente a partir do campo `protocol` do registo não processado se corresponder a protocolos conhecidos.
`qclass`	`dns_question.class`	Campo intermédio usado para mapear `dns_class` para UDM.
`qclass1`	`answers.class`	Campo intermédio usado para mapear `dns_class1` para UDM.
`qclass2`	`answers.class`	Campo intermédio usado para mapear `dns_class2` para UDM.
`query_type`	`dns_question.type`	Mapeado através da tabela de consulta `dns_record_type.include`.
`query_type1`	`answers.type`	Mapeado através da tabela de consulta `dns_record_type.include`.
`query_type2`	`answers.type`	Mapeado através da tabela de consulta `dns_record_type.include`.
`recursion_flag`	`network.dns.recursion_desired`	Se o `recursion_flag` contiver um "+", é mapeado para `network.dns.recursion_desired` como verdadeiro.
`record_type`	`dns_question.type`	Campo intermédio usado para mapear `query_type` para UDM.
`record_type1`	`answers.type`	Campo intermédio usado para mapear `query_type1` para UDM.
`record_type2`	`answers.type`	Campo intermédio usado para mapear `query_type2` para UDM.
`res_code`	`network.dns.response_code`	Mapeado através da tabela de consulta `dns_response_code.include`.
`response_code`	`network.dns.response_code`	Para registos formatados em CEF, se `response_code` existir, é mapeado para `network.dns.response_code` através da tabela de pesquisa `dns_response_code.include`.
`security_action`	`security_result.action`	Derivado do campo `status`. Se `status` for "recusado", `security_action` é definido como "BLOQUEAR"; caso contrário, é definido como "PERMITIR".
`severity`	`security_result.severity`	Para registos formatados em CEF, se `severity` existir e for "informational", é mapeado para `security_result.severity` como "INFORMATIONAL".
`src_host`	`principal.hostname`	Extraído do campo `description` ou `message` do registo não processado através de padrões grok e mapeado para `principal.hostname`.
`src_ip`	`principal.ip` ou `principal.hostname`	Extraído do campo `message` do registo não processado através de padrões grok. Se for um endereço IP válido, é mapeado para `principal.ip`; caso contrário, é mapeado para `principal.hostname`.
`src_port`	`principal.port`	Extraído do campo `message` do registo não processado através de padrões grok e mapeado para `principal.port`.
`ttl1`	`answers.ttl`	Extraído do campo `msg2` do registo não processado através de padrões grok e mapeado para `answers.ttl`.
`ttl2`	`answers.ttl`	Extraído do campo `msg2` do registo não processado através de padrões grok e mapeado para `answers.ttl`.
`metadata.event_type`	`metadata.event_type`	Derivados de vários campos e lógica de análise. A predefinição é `GENERIC_EVENT` se não for identificado outro tipo de evento. Os valores possíveis incluem `NETWORK_DNS`, `NETWORK_CONNECTION` e `STATUS_UPDATE`.
`metadata.log_type`	`metadata.log_type`	Definido como "INFOBLOX_DNS" pelo analisador.
`metadata.product_name`	`metadata.product_name`	Definido como "Infoblox DNS" pelo analisador.
`metadata.vendor_name`	`metadata.vendor_name`	Definido como "INFOBLOX" pelo analisador.
`metadata.product_version`	`metadata.product_version`	Extraído de mensagens CEF.
`metadata.event_timestamp`	`metadata.event_timestamp`	Copiado do campo `timestamp`.
`network.application_protocol`	`network.application_protocol`	Definido como "DNS" se o `event_type` não for "GENERIC_EVENT" ou "STATUS_UPDATE".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.