Esta página foi traduzida pela API Cloud Translation.

Coletar dados do syslog do Apple macOS

Compatível com:

Google SecOps SIEM

Esse analisador usa padrões grok para extrair campos de mensagens syslog do Apple macOS e preenche o Modelo de dados unificado (UDM) com os valores extraídos, incluindo o carimbo de data/hora, o nome do host, o host intermediário, a linha de comando, o ID do processo e a descrição. O analisador categoriza o evento como STATUS_UPDATE se um nome de host estiver presente. Caso contrário, ele atribui a categoria GENERIC_EVENT ao evento. Por fim, o analisador enriquece o evento da UDM com informações do fornecedor e do produto.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Confira se você tem acesso root ao host do Auditd.
Verifique se você instalou o rsyslog no host do Auditd.
Verifique se você tem um host Windows 2012 SP2 ou mais recente ou Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Baixe o arquivo de autenticação de ingestão.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Para instalação no Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para instalação no Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Outras opções de instalação estão disponíveis neste guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse a máquina em que o agente do Bindplane está instalado.

Edite o arquivo config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the below port <54525> and IP <0.0.0.0> with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças usando o seguinte comando: sudo systemctl bindplane restart

Exportar Syslog do macOS

Instale o syslog-ng usando o Homebrew:
```
brew install syslog-ng
```
Configure o syslog-ng:
- Edite o arquivo syslog-ng.conf (geralmente localizado em /usr/local/etc/syslog-ng/syslog-ng.conf):
```
sudo vi /usr/local/etc/syslog-ng/syslog-ng.conf
```
- Adicione o seguinte bloco de configuração.
  - Dependendo da configuração do Bindplane, você pode mudar o método de entrega para tcp ou deixar como udp.
  - Substitua <BindPlaneAgent_IP> e <BindPlaneAgent_Port> pelo endereço IP e pela porta reais do seu agente do Bindplane:
```
source s_local { system(); internal(); };
destination d_secops { tcp("<BindPlaneAgent_IP>:<BindPlaneAgent_Port>"); };
log { source(s_local); destination(d_secops); };
```
Reinicie o serviço syslog-ng:
```
brew services restart syslog-ng
```
Verifique o status de syslog-ng. Ele deve estar listado como iniciado:syslog-ng
```
brew services list
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
dados	read_only_udm.metadata.description	O valor do campo `description` é extraído do campo `data` no registro bruto usando um padrão grok.
dados	read_only_udm.principal.hostname	O nome do host é extraído do campo `data` usando um padrão grok.
dados	read_only_udm.intermediary.hostname	O nome do host intermediário é extraído do campo `data` usando um padrão grok.
dados	read_only_udm.principal.process.command_line	A linha de comando do processo é extraída do campo `data` usando um padrão grok.
dados	read_only_udm.principal.process.pid	O ID do processo é extraído do campo `data` usando um padrão grok.
dados	read_only_udm.metadata.event_timestamp	O carimbo de data/hora do evento é extraído do campo `data` usando um padrão grok e convertido em um objeto de carimbo de data/hora. Fixado no código como "MacOS" no analisador. Fixado no código como "Apple" no analisador. Definido como "STATUS_UPDATE" se um nome do host for extraído dos registros. Caso contrário, defina como "GENERIC_EVENT".
log_type	read_only_udm.metadata.log_type	Mapeado diretamente do campo `log_type` do registro bruto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.