JFrog Artifactory 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Jfrog Artifactory 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 두 가지 JFrog Artifactory 로그 형식을 처리합니다. grok 패턴을 사용하여 각 형식에서 필드를 식별하고 추출합니다. 그런 다음 이러한 필드를 UDM에 매핑하여 형식 중 하나 내에서 JSON 페이로드를 처리하고 두 형식과 일치하지 않는 로그를 삭제합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Jfrog Artifactory 인스턴스에 대한 권한 있는 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    ```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'JFROG_ARTIFACTORY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Jfrog Artifactory Syslog 구성

  1. Jfrog Artifactory 인스턴스에 연결합니다.

  2. vi를 사용하여 $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml 파일을 수정합니다.

    vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml

  3. 파일에 다음 syslog 어펜더를 추가합니다.

    <appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender">
    <syslogHost>Bindplane-Agent-IP</syslogHost>
    <facility>SYSLOG</facility>
    <suffixPattern>[%thread] %logger %msg</suffixPattern>
</appender>
    • syslogHost에서 Bindplane-Agent-IP를 Bindplane 에이전트에 대해 구성된 실제 IP 주소로 바꿉니다.

  4. 파일에 추가 구성 데이터를 추가합니다.

    <root>
< level value="debug"/>
<appender-ref ref="CONSOLE"/>
<appender-ref ref="FILE"/>
<appender-ref ref="SYSLOG"/>
</root>

  5. 키보드에서 ESC (esc) 버튼을 클릭하고 :wq를 입력하여 파일을 저장합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
작업 read_only_udm.metadata.product_event_type 원시 로그의 action 값이 소문자로 변환되고 매핑됩니다.
datetime read_only_udm.metadata.event_timestamp 원시 로그의 datetime 필드가 파싱되어 타임스탬프로 변환됩니다.
호스트 이름 read_only_udm.principal.hostname 원시 로그의 hostname 필드에서 직접 매핑됩니다.
id read_only_udm.metadata.product_log_id 원시 로그의 id 필드 (JSON 페이로드에서)에서 직접 매핑됩니다.
ip read_only_udm.principal.ip 원시 로그의 ip 필드에서 직접 매핑됩니다. 'USER_RESOURCE_ACCESS'로 하드코딩됩니다. 'JFROG_ARTIFACTORY'로 하드코딩됩니다. 'Artifactory'로 하드코딩됩니다. 'JFROG'로 하드코딩됩니다.
owner read_only_udm.principal.user.userid username이 원시 로그 (JSON 페이로드에서)에 없는 경우 매핑됩니다.
repo_name read_only_udm.target.resource.name 원시 로그의 repo_name 필드에서 직접 매핑됩니다.
repo_type read_only_udm.target.resource.resource_subtype 원시 로그의 repo_type 필드에서 직접 매핑됩니다.
범위 read_only_udm.target.resource.name 원시 로그의 범위 필드 (JSON 페이로드에서)에서 직접 매핑됩니다.
범위 read_only_udm.target.resource.resource_subtype scope가 원시 로그에 있는 경우 'scope'로 하드코딩됩니다.
sequenceId read_only_udm.metadata.product_log_id 따옴표가 sequenceId 필드에서 삭제된 후 매핑됩니다.
subject read_only_udm.about.labels.key subject가 원시 로그에 있는 경우 'subject'로 하드코딩됩니다.
subject read_only_udm.about.labels.value 원시 로그의 subject 필드 (JSON 페이로드에서)에서 직접 매핑됩니다.
type read_only_udm.metadata.product_event_type 원시 로그의 type 필드 (JSON 페이로드에서)에서 직접 매핑됩니다.
사용자 read_only_udm.principal.user.userid 원시 로그의 user 필드에서 직접 매핑됩니다.
사용자 이름 read_only_udm.principal.user.userid 원시 로그의 username 필드 (JSON 페이로드에서)에서 직접 매핑됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.