Raccogliere i log MySQL

Supportato in:

Questo documento spiega come importare i log MySQL in Google Security Operations utilizzando Bindplane. Il parser estrae innanzitutto i campi comuni dai messaggi SYSLOG di MySQL utilizzando grok. Poi, utilizza la ramificazione condizionale (if, else if) e la corrispondenza delle espressioni regolari per identificare tipi di eventi specifici all'interno dei messaggi di log, estraendo e mappando le informazioni pertinenti nello schema Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso con privilegi all'host MySQL
  • Installazione di MySQL DB e Rsyslog

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installare l'agente Bindlane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'MYSQL'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog in MySQL

  1. Accedi all'host MySQL utilizzando SSH.

  2. Connettiti al database MySQL:

    mysql -u root -p

  3. Verifica per il plug-in di controllo server_audit.so:

    show variables like 'plugin_dir';

  4. Se non trovi il file del plug-in nella directory del plug-in, installa il plug-in utilizzando il comando:

    install plugin server_audit soname 'server_audit.so';

  5. Verifica che il plug-in sia installato e attivato:

    show plugins;

  6. Modifica il file /etc/my.cnf utilizzando vi, attiva quanto segue e salva il file:

    server_audit_events='CONNECT,QUERY,TABLE'
server_audit_file_path=server_audit.log
server_audit_logging=ON
server_audit_output_type=SYSLOG
server_audit_syslog_facility=LOG_LOCAL6

  7. Verifica le variabili di controllo con questo comando:

    show global variables like "server_audit%";

  8. Verifica che il controllo sia abilitato con il seguente comando: 

    Show global status like 'server_audit%';

  9. Modifica il file /etc/rsyslog.conf utilizzando vi per abilitare l'utilizzo di UDP e salva il file:

    *.* @@<bindplane-agent-ip>:<bindplane-agent-port>

  10. Sostituisci <bindplane-agent-ip> e <bindplane-agent-port> con la configurazione dell'agente Bindplane.

  11. Riavvia il servizio MySQL e connettiti al database MySQL.

    /etc/init.d/mysqld restart

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
azione read_only_udm.metadata.event_type Se il valore è Created, FILE_CREATION, se il valore è Deleted, FILE_DELETION, altrimenti nessuna modifica.
database read_only_udm.target.resource.parent
db_hostname read_only_udm.target.hostname
db_user read_only_udm.target.user.userid
description read_only_udm.security_result.description
error_details Si tratta di una variabile temporanea, ignorala
error_level read_only_udm.security_result.severity Se il valore è error, viene visualizzato il messaggio ERRORE, se il valore è warning, viene visualizzato il messaggio MEDIO, se il valore è note, viene visualizzato il messaggio INFORMATIVO, altrimenti non viene apportata alcuna modifica.
error_message read_only_udm.security_result.summary
file_path read_only_udm.target.file.full_path
file_size read_only_udm.target.file.size
nome host read_only_udm.principal.hostname
inner_message read_only_udm.security_result.description
riepilogo read_only_udm.metadata.product_event_type
tabella read_only_udm.target.resource.name
table_not_found Si tratta di una variabile temporanea, ignorala
timestamp read_only_udm.metadata.event_timestamp
read_only_udm.extensions.auth.type Valore statico - MACHINE
read_only_udm.metadata.event_type Valore statico: USER_LOGIN, GENERIC_EVENT, STATUS_UPDATE, FILE_CREATION, FILE_DELETION
read_only_udm.metadata.log_type Valore statico - MYSQL
read_only_udm.metadata.product_name Valore statico - MySQL
read_only_udm.metadata.vendor_name Valore statico - Oracle Corporation
read_only_udm.security_result.action Valore statico - BLOCK
read_only_udm.target.resource.resource_type Valore statico: DATABASE, TABLE

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.