收集 Infoblox 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Infoblox 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 INFOBLOX_DNS 攝入標籤的剖析器。
設定 Infoblox
- 登入 Infoblox 網頁版 UI。
- 在 Infoblox 網頁 UI 中,依序選取「System」>「System properties editor」>「Monitoring」。
- 勾選「記錄到外部 Syslog 伺服器」核取方塊。
- 在「外部系統記錄伺服器」部分,按一下加號 (+),為 Google Security Operations 轉送器新增系統記錄伺服器。
- 在「Address」(位址) 欄位中,輸入 Google Security Operations 轉送伺服器的 IP 位址。
- 在「Transport」(傳輸) 清單中,選取「TCP」或「UDP」。
- 在「Port」(通訊埠) 欄位中輸入通訊埠號碼。
- 在「節點 ID」清單中選取「LAN」,將 Infoblox IP 位址納入系統記錄標頭。
- 從「Available」清單中選取下列項目,然後移至「Selected」清單:
- DNS 查詢
- DNS 回應
- DHCP 程序
Infoblox 伺服器會使用系統記錄檔,將查詢和回應記錄轉送至 Google Security Operations 轉送器。
設定 Google Security Operations 轉送程式和系統記錄,以便擷取 Infoblox 記錄
- 依序選取「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉寄者名稱」欄位中輸入專屬名稱。
- 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
- 選取「Infoblox」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。如要瞭解各轉送器類型的相關規定,請參閱「依類型設定轉送器」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會擷取 SYSLOG 或 CEF 格式的 Infoblox DNS 記錄,並將其正規化為 UDM。這項服務會使用 grok 模式處理各種記錄格式,擷取來源或目的地 IP、DNS 查詢詳細資料和安全性資訊等重要欄位,並將這些欄位對應至適當的 UDM 欄位。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
agent.hostname |
principal.hostname |
如果是 CEF 格式的記錄,如果存在 agent.hostname,則會對應至 principal.hostname。 |
client_ip |
principal.ip |
如果是 CEF 格式的記錄,如果存在 client_ip,則會對應至 principal.ip。 |
client_port |
principal.port |
如果是 CEF 格式的記錄,如果存在 client_port,則會對應至 principal.port。 |
data |
answers.data |
從原始記錄的「answers」部分「data」欄位擷取。多個事件會對應為個別的 answers 物件。 |
description |
metadata.description |
直接從原始記錄的 description 欄位對應,或使用 grok 模式從其他欄位 (例如 message 和 msg2) 擷取。 |
dest_ip1 |
target.ip |
從原始記錄擷取並對應至 target.ip。 |
destinationDnsDomain |
dns_question.name |
如果是 CEF 格式的記錄,如果存在 destinationDnsDomain,則會對應至 dns_question.name。 |
dns_class |
dns_question.class |
使用 dns_query_class_mapping.include 查閱表對應。 |
dns_domain |
dns_question.name |
使用 grok 模式從原始記錄的 message 欄位擷取,並對應至 dns_question.name。 |
dns_name |
dns_question.name |
使用 grok 模式從 dns_domain 欄位擷取,並對應至 dns_question.name。 |
dns_records |
answers.data |
如果是 CEF 格式的記錄,如果存在 dns_records,則會對應至 answers.data。多個事件會對應為個別的 answers 物件。 |
dst_ip |
target.ip或target.hostname |
使用 grok 模式從原始記錄的 message 欄位擷取。如果是有效的 IP 位址,則會對應至 target.ip;否則會對應至 target.hostname。 |
dst_ip1 |
target.ip或target.hostname |
使用 grok 模式從原始記錄的 message 或 msg2 欄位擷取。如果是有效的 IP 位址,則會對應至 target.ip;否則會對應至 target.hostname。只有在與 dst_ip 不同時才對應。 |
evt_type |
metadata.product_event_type |
直接從原始記錄的 evt_type 欄位對應,該欄位是使用 grok 模式從 message 欄位擷取。 |
InfobloxB1OPHIPAddress |
principal.ip |
如果是 CEF 格式的記錄,如果存在 InfobloxB1OPHIPAddress,則會對應至 principal.ip。 |
InfobloxB1Region |
principal.location.country_or_region |
如果是 CEF 格式的記錄,如果存在 InfobloxB1Region,則會對應至 principal.location.country_or_region。 |
InfobloxDNSQType |
dns_question.type |
如果是 CEF 格式的記錄,如果存在 InfobloxDNSQType,則會對應至 dns_question.type。 |
intermediary |
intermediary.ip或intermediary.hostname |
使用 grok 模式從原始記錄的 message 欄位擷取。如果是有效的 IP 位址,則會對應至 intermediary.ip;否則會對應至 intermediary.hostname。 |
msg2 |
metadata.description、dns.response_code、dns_question.name、target.ip、target.hostname、answers.name、answers.ttl、answers.data、answers.class、answers.type、security_result.severity |
使用 grok 模式從原始記錄的 message 欄位擷取。用於擷取各種欄位,但不會直接對應至 UDM。 |
name1 |
answers.name |
使用 grok 模式從原始記錄的 msg2 欄位擷取,並對應至 answers.name。 |
name2 |
answers.name |
使用 grok 模式從原始記錄的 msg2 欄位擷取,並對應至 answers.name。 |
protocol |
network.ip_protocol |
如果與已知通訊協定相符,則直接從原始記錄的 protocol 欄位對應。 |
qclass |
dns_question.class |
用於將 dns_class 對應至 UDM 的中繼欄位。 |
qclass1 |
answers.class |
用於將 dns_class1 對應至 UDM 的中繼欄位。 |
qclass2 |
answers.class |
用於將 dns_class2 對應至 UDM 的中繼欄位。 |
query_type |
dns_question.type |
使用 dns_record_type.include 查閱表對應。 |
query_type1 |
answers.type |
使用 dns_record_type.include 查閱表對應。 |
query_type2 |
answers.type |
使用 dns_record_type.include 查閱表對應。 |
recursion_flag |
network.dns.recursion_desired |
如果 recursion_flag 包含「+」,則會對應至 network.dns.recursion_desired (設為 true)。 |
record_type |
dns_question.type |
用於將 query_type 對應至 UDM 的中繼欄位。 |
record_type1 |
answers.type |
用於將 query_type1 對應至 UDM 的中繼欄位。 |
record_type2 |
answers.type |
用於將 query_type2 對應至 UDM 的中繼欄位。 |
res_code |
network.dns.response_code |
使用 dns_response_code.include 查閱表對應。 |
response_code |
network.dns.response_code |
如果是 CEF 格式的記錄,如果存在 response_code,系統會使用 dns_response_code.include 查閱表將其對應至 network.dns.response_code。 |
security_action |
security_result.action |
衍生自「status」欄位。如果 status 為「denied」,security_action 會設為「BLOCK」;否則會設為「ALLOW」。 |
severity |
security_result.severity |
如果是 CEF 格式的記錄,如果 severity 存在且為「informational」,則會對應至 security_result.severity,並顯示為「INFORMATIONAL」。 |
src_host |
principal.hostname |
使用 grok 模式從原始記錄的 description 或 message 欄位擷取,並對應至 principal.hostname。 |
src_ip |
principal.ip或principal.hostname |
使用 grok 模式從原始記錄的 message 欄位擷取。如果是有效的 IP 位址,則會對應至 principal.ip;否則會對應至 principal.hostname。 |
src_port |
principal.port |
使用 grok 模式從原始記錄的 message 欄位擷取,並對應至 principal.port。 |
ttl1 |
answers.ttl |
使用 grok 模式從原始記錄的 msg2 欄位擷取,並對應至 answers.ttl。 |
ttl2 |
answers.ttl |
使用 grok 模式從原始記錄的 msg2 欄位擷取,並對應至 answers.ttl。 |
metadata.event_type |
metadata.event_type |
這項資料是根據各種欄位和剖析器邏輯衍生而來。如果沒有其他事件類型,則預設值為 GENERIC_EVENT。可能的值包括 NETWORK_DNS、NETWORK_CONNECTION 和 STATUS_UPDATE。 |
metadata.log_type |
metadata.log_type |
剖析器會設為「INFOBLOX_DNS」。 |
metadata.product_name |
metadata.product_name |
由剖析器設為「Infoblox DNS」。 |
metadata.vendor_name |
metadata.vendor_name |
由剖析器設為「INFOBLOX」。 |
metadata.product_version |
metadata.product_version |
從 CEF 訊息擷取。 |
metadata.event_timestamp |
metadata.event_timestamp |
從「timestamp」欄位複製。 |
network.application_protocol |
network.application_protocol |
如果 event_type 不是「GENERIC_EVENT」或「STATUS_UPDATE」,請設為「DNS」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。