Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di NetApp ONTAP

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log di NetApp ONTAP tramite Syslog. Il parser estrae i campi dai messaggi syslog utilizzando le espressioni regolari. Successivamente, mappa i campi estratti ai campi UDM (Unified Data Model) corrispondenti, convertendo efficacemente i dati di log non elaborati in un formato strutturato per l'analisi della sicurezza.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso amministrativo al cluster NetApp ONTAP.
Assicurati che ONTAP possa comunicare con il server Syslog (Bindplane).

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente BindPlane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: netapp_ontap
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

In Linux, per riavviare Bindplane Agent, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare una destinazione Syslog in ONTAP

Accedi al cluster ONTAP utilizzando SSH e sostituisci <ontap-cluster-ip> con l'IP di gestione del cluster ONTAP:
```
ssh admin@<ontap-cluster-ip>
```
Controlla i filtri e le notifiche degli eventi esistenti:
```
event filter show
event notification show
```

Crea una destinazione Syslog, sostituisci <syslog-server-ip> e <syslog-server-port> con i dettagli del server Syslog (Bindplane):

event notification destination create -name syslog-ems -syslog <syslog-server-ip> -syslog-port <syslog-server-port> -syslog-transport udp-unencrypted

Altre opzioni per -syslog-transport:
- udp-unencrypted (predefinito)
- tcp-unencrypted
- tcp-encrypted (per TLS).
Verifica la destinazione Syslog:
```
event notification destination show
```

Configurare i filtri degli eventi esistenti

Collega i filtri predefiniti alla destinazione Syslog:

event notification create -filter-name no-info-debug-events -destinations syslog-ems
event notification create -filter-name default-trap-events -destinations syslog-ems

(Facoltativo) Crea e configura filtri personalizzati

Filtro eventi di autenticazione (accessi/disconnessioni): acquisisce i log in cui la descrizione corrisponde a "Accesso in corso" o "Disconnessione in corso":

event filter create -filter-name auth_events
event filter rule add -filter-name auth_events -type include -message-name *login* -severity info
event filter rule add -filter-name auth_events -type include -message-name *logout* -severity info

Filtro campi di rilevamento della sicurezza: acquisisce i log relativi a nmsdk_language, nmsdk_platform, nmsdk_version e netapp_version:

event filter create -filter-name security_fields
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_language* -severity info
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_platform* -severity info
event filter rule add -filter-name security_fields -type include -message-name *nmsdk_version* -severity info
event filter rule add -filter-name security_fields -type include -message-name *netapp_version* -severity info

Filtro dei log basato sulla gravità: acquisisce i log in cui la gravità è informativa:

event filter create -filter-name severity_info
event filter rule add -filter-name severity_info -type include -message-name * -severity info

Filtro attività di rete: acquisisce i log con src_ip e src_port:

event filter create -filter-name network_activity
event filter rule add -filter-name network_activity -type include -message-name *src_ip* -severity info
event filter rule add -filter-name network_activity -type include -message-name *src_port* -severity info

Filtro log target URL: acquisisce i log con informazioni sull'URL:

event filter create -filter-name url_target
event filter rule add -filter-name url_target -type include -message-name *url* -severity info

Applica ogni filtro alla destinazione Syslog:

event notification create -filter-name auth_events -destinations syslog-ems
event notification create -filter-name security_fields -destinations syslog-ems
event notification create -filter-name severity_info -destinations syslog-ems
event notification create -filter-name network_activity -destinations syslog-ems
event notification create -filter-name url_target -destinations syslog-ems

Verifica delle notifiche:
```
event notification show
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
codice		Non mappato
description	metadata.description	Estratto dal messaggio di log utilizzando un pattern grok. Presente solo quando la descrizione è "Disconnessione in corso" o "Accesso in corso".
intermediary_host	intermediary.hostname	Estratto dal messaggio di log utilizzando un pattern grok.
nmsdk_language	security_result.detection_fields.value	Estratto dal messaggio di log utilizzando un pattern grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_language".
nmsdk_platform	security_result.detection_fields.value	Estratto dal messaggio di log utilizzando un pattern grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_platform".
nmsdk_version	security_result.detection_fields.value	Estratto dal messaggio di log utilizzando un pattern grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "nmsdk_version".
netapp_version	security_result.detection_fields.value	Estratto dal messaggio di log utilizzando un pattern grok. Questo valore viene aggiunto come "value" a un oggetto detection_fields con "key" = "netapp_version".
product_event_type	metadata.product_event_type	Estratto dal messaggio di log utilizzando un pattern grok.
security_result.summary	security_result.summary	Estratto dal messaggio di log utilizzando un pattern grok.
gravità	security_result.severity	Imposta il valore su "INFORMATIONAL" se la gravità è "info" (senza distinzione tra maiuscole e minuscole).
src_ip	principal.ip	Estratto dal messaggio di log utilizzando un pattern grok.
src_port	principal.port	Estratto dal messaggio di log utilizzando un pattern grok.
stato	security_result.summary	Estratto dal messaggio di log utilizzando un pattern grok.
ts	metadata.event_timestamp.seconds	Estratto dal messaggio di log utilizzando un pattern grok e convertito in un timestamp.
url	target.url	Estratto dal messaggio di log utilizzando un pattern grok.
utente	target.user.userid	Estratto dal messaggio di log utilizzando un pattern grok.
	extensions.auth.type	Imposta "AUTHTYPE_UNSPECIFIED" se la descrizione è "Disconnessione" o "Accesso".
	metadata.event_type	Imposta "USER_LOGIN" se la descrizione è "Accesso".
	metadata.event_type	Imposta "USER_LOGOUT" se la descrizione è "Disconnessione".
	metadata.event_type	Impostato su "SCAN_UNCATEGORIZED" se la descrizione non è "Accesso" o "Disconnessione".
	metadata.log_type	Imposta il valore su "NETAPP_ONTAP".
	metadata.product_name	Imposta il valore su "NETAPP_ONTAP".
	metadata.vendor_name	Imposta il valore su "NETAPP_ONTAP".
	target.platform	Imposta su "WINDOWS" se nmsdk_platform contiene "windows" (senza distinzione tra maiuscole e minuscole).

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.