Recoger registros de NetApp ONTAP

En este documento se describe cómo puede recoger los registros de NetApp ONTAP a través de Syslog. El analizador extrae campos de los mensajes syslog mediante expresiones regulares. A continuación, asigna los campos extraídos a los campos de UDM (modelo de datos unificado) correspondientes, lo que convierte los datos de registro sin procesar en un formato estructurado para el análisis de seguridad.

Antes de empezar

• Asegúrate de que tienes una instancia de Google Security Operations.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
• Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
• Asegúrate de que tienes acceso de administrador al clúster de NetApp ONTAP.
• Asegúrate de que ONTAP pueda comunicarse con el servidor Syslog (Bindplane).

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre un terminal con privilegios de superusuario o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: netapp_ontap
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Sustituye <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• En Windows, para reiniciar el agente de Bindplane, puedes usar la consola Servicios o introducir el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar un destino Syslog en ONTAP

1. Accede al clúster de ONTAP mediante SSH y sustituye <ontap-cluster-ip> por la IP de gestión de tu clúster de ONTAP:

   ssh admin@<ontap-cluster-ip>
   

2. Consulta los filtros y las notificaciones de eventos actuales:

   event filter show
   event notification show
   

3. Crea un destino Syslog y sustituye <syslog-server-ip> y <syslog-server-port> por los detalles de tu servidor Syslog (Bindplane):

   event notification destination create -name syslog-ems -syslog <syslog-server-ip> -syslog-port <syslog-server-port> -syslog-transport udp-unencrypted
   

4. Otras opciones de -syslog-transport:

   • udp-unencrypted (predeterminado)
   • tcp-unencrypted
   • tcp-encrypted (para TLS).

5. Verifica el destino de Syslog:

   event notification destination show
   

Configurar filtros de eventos

• Vincula los filtros predeterminados al destino Syslog:

  event notification create -filter-name no-info-debug-events -destinations syslog-ems
  event notification create -filter-name default-trap-events -destinations syslog-ems
  

Opcional: Crear y configurar filtros personalizados

1. Filtro de eventos de autenticación (inicios y cierres de sesión): registra los eventos en los que la descripción coincide con "Logging in" o "Logging out".

   event filter create -filter-name auth_events
   event filter rule add -filter-name auth_events -type include -message-name *login* -severity info
   event filter rule add -filter-name auth_events -type include -message-name *logout* -severity info
   

2. Filtro de campos de detección de seguridad: registra los datos relacionados con nmsdk_language, nmsdk_platform, nmsdk_version y netapp_version.

   event filter create -filter-name security_fields
   event filter rule add -filter-name security_fields -type include -message-name *nmsdk_language* -severity info
   event filter rule add -filter-name security_fields -type include -message-name *nmsdk_platform* -severity info
   event filter rule add -filter-name security_fields -type include -message-name *nmsdk_version* -severity info
   event filter rule add -filter-name security_fields -type include -message-name *netapp_version* -severity info
   

3. Filtro de registros basado en la gravedad: captura los registros cuya gravedad es informativa:

   event filter create -filter-name severity_info
   event filter rule add -filter-name severity_info -type include -message-name * -severity info
   

4. Filtro de actividad de red: captura registros con src_ip y src_port:

   event filter create -filter-name network_activity
   event filter rule add -filter-name network_activity -type include -message-name *src_ip* -severity info
   event filter rule add -filter-name network_activity -type include -message-name *src_port* -severity info
   

5. Filtro de registros de destino de URL: captura registros con información de URL.

   event filter create -filter-name url_target
   event filter rule add -filter-name url_target -type include -message-name *url* -severity info
   

6. Aplica cada filtro al destino Syslog:

   event notification create -filter-name auth_events -destinations syslog-ems
   event notification create -filter-name security_fields -destinations syslog-ems
   event notification create -filter-name severity_info -destinations syslog-ems
   event notification create -filter-name network_activity -destinations syslog-ems
   event notification create -filter-name url_target -destinations syslog-ems
   

7. Verificar notificaciones:

   event notification show
   

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.