Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux de la plate-forme Nasuni File Services

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux de la plate-forme Nasuni File Services dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur extrait les champs des journaux SYSLOG et JSON. Il utilise des modèles grok pour analyser le message initial, puis exploite un filtre JSON pour les données JSON intégrées, en mappant les champs extraits à l'UDM, en gérant différents types d'événements tels que les lectures de fichiers, les modifications et les événements génériques, et en enrichissant les données avec des informations sur le fournisseur et le produit. Il effectue également une logique conditionnelle basée sur les champs extraits pour catégoriser les événements et remplir les métadonnées UDM.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Claroty CTD.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: NASUNI_FILE_SERVICES
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog dans la plate-forme Nasuni File Service

Connectez-vous à l'interface utilisateur Web de la console Nasuni.
Accédez à Paramètres de la console > Exportations Syslog.
Saisissez les informations de configuration suivantes dans la section "Réseau" :
- Nom d'hôte : saisissez un nom unique et explicite (par exemple, Syslog Google SecOps).
- Adresse IP : saisissez l'adresse IP Bindplane.
- Port : saisissez le numéro de port de configuration Bindplane (par exemple, 514 pour UDP).
- Protocole : sélectionnez UDP (vous pouvez également sélectionner TCP, en fonction de votre configuration Bindplane).
- Format : sélectionnez SYSLOG+JSON.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`application`	`target.application`	Renseigné lorsque le champ `msg` existe et n'est pas au format JSON, et que le champ `application` n'est pas vide.
`event_type`	`metadata.product_event_type`	Mappé directement à partir du champ `event_type` dans le journal brut.
`gid`	`target.group.product_object_id`	Mappé directement à partir du champ `gid` dans le journal brut, converti en chaîne.
`groupname`	`target.group.group_display_name`	Mappé directement à partir du champ `groupname` dans le journal brut.
`host`	`principal.hostname`	Mappé directement à partir du champ `host` dans le journal brut.
`ipaddr`	`principal.ip`	Mappé directement à partir du champ `ipaddr` dans le journal brut.
`is_dir`	`additional.fields.value.string_value` (où la clé est `is_dir`)	Mappé directement à partir du champ `is_dir` dans le journal brut, converti en chaîne. Ajouté en tant que champ supplémentaire.
`msg`	`metadata.description`	Renseigné lorsque le champ `msg` existe, n'est pas au format JSON et que `ipaddr` et `prin_port` n'en sont pas extraits. Également utilisé pour les événements STATUS_UPDATE.
`newpath`	`additional.fields.value.string_value` (où la clé est `newpath`)	Mappé directement à partir du champ `newpath` dans le journal brut. Ajouté en tant que champ supplémentaire.
`offset`	`additional.fields.value.string_value` (où la clé est `offset`)	Mappé directement à partir du champ `offset` dans le journal brut, converti en chaîne. Ajouté en tant que champ supplémentaire.
`path`	`target.file.full_path`	Mappé directement à partir du champ `path` dans le journal brut.
`pid`	`target.process.pid`	Mappé directement à partir du champ `pid` dans le journal brut, converti en chaîne.
`prin_port`	`principal.port`	Extrait du champ `msg` à l'aide de grok lorsque `msg` n'est pas au format JSON, converti en entier.
`proc_id`	`principal.process.pid`	Mappé directement à partir du champ `proc_id` dans le journal brut.
`product_log_id`	`metadata.product_log_id`	Mappé directement à partir du champ `product_log_id` dans le journal brut.
`proto`	`metadata.description`	Mappé directement à partir du champ `proto` dans le journal brut.
`resource`	`target.resource.resource_subtype`	Mappé directement à partir du champ `resource` dans le journal brut.
`sequence`	`additional.fields.value.string_value` (où la clé est `sequence`)	Mappé directement à partir du champ `sequence` dans le journal brut, converti en chaîne. Ajouté en tant que champ supplémentaire.
`sid`	`principal.user.windows_sid`	Mappé directement à partir du champ `sid` dans le journal brut.
`tid`	`target.resource.product_object_id`	Mappé directement à partir du champ `tid` dans le journal brut, converti en chaîne.
`time`	`metadata.event_timestamp.seconds`, `timestamp.seconds`	La partie "secondes" du code temporel est extraite du champ `time` et utilisée pour remplir `metadata.event_timestamp` et `timestamp` de premier niveau. Déterminé par une logique basée sur les valeurs de `ipaddr`, `path` et `event_type`. Il peut s'agir de `FILE_READ`, `FILE_MODIFICATION`, `FILE_UNCATEGORIZED`, `STATUS_UPDATE` ou `GENERIC_EVENT`. Codé en dur sur `NASUNI_FILE_SERVICES`. Codé en dur sur `Nasuni File Services Platform`. Codé en dur sur `Nasuni`.
`uid`	`additional.fields.value.string_value` (où la clé est `uid`)	Mappé directement à partir du champ `uid` dans le journal brut, converti en chaîne. Ajouté en tant que champ supplémentaire.
`username`	`principal.user.user_display_name`	Mappé directement à partir du champ `username` dans le journal brut.
`volume`	`additional.fields.value.string_value` (où la clé est `volume`)	Mappé directement à partir du champ `volume` dans le journal brut. Ajouté en tant que champ supplémentaire.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.