收集 JFrog Artifactory 記錄
本文說明如何使用 Bindplane 將 JFrog Artifactory 記錄擷取至 Google Security Operations。剖析器會處理兩種不同的 JFrog Artifactory 記錄格式。這項功能會使用 grok 模式,從每種格式中識別及擷取欄位。然後將這些欄位對應至 UDM,處理其中一種格式的 JSON 酬載,並捨棄不符合任一格式的記錄。
事前準備
- 確認您擁有 Google SecOps 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載
systemd
的 Linux 主機。 - 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
- 確認您擁有 Jfrog Artifactory 執行個體的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml
檔案。通常位於 Linux 的/etc/bindplane-agent/
目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano
、vi
或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml
檔案:```yaml receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'JFROG_ARTIFACTORY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels ```
視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>
替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json
更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent
如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 JFrog Artifactory 系統記錄檔
- 連線至 Jfrog Artifactory 執行個體。
使用 vi 編輯
$JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
檔案:vi $JFROG_HOME/artifactory/var/etc/artifactory/logback.xml
在檔案中新增下列系統記錄附加程式:
<appender name="SYSLOG" class= "ch.qos.logback.classic.net.SyslogAppender"> <syslogHost>Bindplane-Agent-IP</syslogHost> <facility>SYSLOG</facility> <suffixPattern>[%thread] %logger %msg</suffixPattern> </appender>
- 將 syslogHost 中的
Bindplane-Agent-IP
替換為為 Bindplane 代理程式設定的實際 IP 位址。
- 將 syslogHost 中的
在檔案中新增其他設定資料:
<root> < level value="debug"/> <appender-ref ref="CONSOLE"/> <appender-ref ref="FILE"/> <appender-ref ref="SYSLOG"/> </root>
按一下鍵盤上的「Esc」(跳脫) 鍵
ESC
,然後輸入:wq
,即可儲存檔案。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
動作 | read_only_udm.metadata.product_event_type |
原始記錄中的 action 值會轉換為小寫並對應。 |
datetime | read_only_udm.metadata.event_timestamp |
系統會剖析原始記錄的 datetime 欄位,並轉換為時間戳記。 |
hostname | read_only_udm.principal.hostname |
直接從原始記錄的「hostname」欄位對應。 |
id | read_only_udm.metadata.product_log_id |
直接從原始記錄的 id 欄位 (來自 JSON 酬載) 對應。 |
ip | read_only_udm.principal.ip |
直接從原始記錄的 ip 欄位對應。硬式編碼為「USER_RESOURCE_ACCESS」。硬式編碼為「JFROG_ARTIFACTORY」。硬式編碼為「Artifactory」。硬式編碼為「JFROG」。 |
擁有者 | read_only_udm.principal.user.userid |
如果原始記錄 (來自 JSON 酬載) 中沒有 username,則會對應。 |
repo_name | read_only_udm.target.resource.name |
直接從原始記錄的 repo_name 欄位對應。 |
repo_type | read_only_udm.target.resource.resource_subtype |
直接從原始記錄的 repo_type 欄位對應。 |
範圍 | read_only_udm.target.resource.name |
直接從原始記錄的範圍欄位 (來自 JSON 酬載) 對應。 |
範圍 | read_only_udm.target.resource.resource_subtype |
如果原始記錄中存在 scope,則會硬式編碼為「scope」。 |
sequenceId | read_only_udm.metadata.product_log_id |
系統會從 sequenceId 欄位移除引號,然後進行對應。 |
主旨 | read_only_udm.about.labels.key |
如果原始記錄中存在 subject,則會硬式編碼為「subject」。 |
主旨 | read_only_udm.about.labels.value |
直接從原始記錄的主旨欄位 (來自 JSON 酬載) 對應。 |
type | read_only_udm.metadata.product_event_type |
直接從原始記錄的類型欄位 (來自 JSON 酬載) 對應。 |
user | read_only_udm.principal.user.userid |
直接從原始記錄的 user 欄位對應。 |
使用者名稱 | read_only_udm.principal.user.userid |
直接從原始記錄的 username 欄位 (來自 JSON 酬載) 對應。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。