Mengumpulkan log SAN NetApp

Didukung di:

Dokumen ini menjelaskan cara menyerap log NetApp SAN ke Google Security Operations menggunakan agen Bindplane. Parser mengekstrak kolom dari log NetApp SAN menggunakan pola Grok, lalu memetakan kolom yang diekstrak tersebut ke UDM Google SecOps, yang memperkaya data dengan informasi produk dan vendor statis untuk analisis keamanan standar. Jika entri log tidak cocok dengan pola yang diharapkan, entri tersebut akan dihapus karena tidak memiliki nilai keamanan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke NetApp SAN.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: NETAPP_SAN
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslon di NetApp SAN

  1. Login ke UI web NetApp SAN.
  2. Buka Configuration > Monitoring > Audit and syslog server.
  3. Klik Konfigurasi server syslog eksternal atau Edit server syslog eksternal.
  4. Berikan detail konfigurasi berikut:
    • Host: masukkan alamat IP Bindplane.
    • Port: masukkan nomor port Bindplane; misalnya, 514 untuk UDP.
    • Protocol: Pilih UDP.
  5. Klik Lanjutkan.
  6. Aktifkan dan pilih konten Syslog berikut:
    • Kirim log audit: aktifkan dan tetapkan Severity:Informational(6), facility:local7.
    • Kirim peristiwa keamanan: aktifkan dan tetapkan Severity:Passthrough, facility:Passthrough.
    • Kirim log aplikasi: tetap nonaktifkan opsi ini.
  7. Klik Lanjutkan.
  8. Kirim pesan pengujian log.
  9. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
datetime metadata.event_timestamp.seconds Diekstrak dari pesan log menggunakan pola grok %{SYSLOGTIMESTAMP:datetime} dan dikonversi ke detik epoch.
menurun metadata.description Diekstrak dari pesan log menggunakan pola grok %{GREEDYDATA:desc}.
ip principal.ip Diekstrak dari pesan log menggunakan pola grok %{IP:ip}.
log_level Digunakan untuk menentukan nilai security_result.severity.
port principal.port Diekstrak dari pesan log menggunakan pola grok %{INT:port} dan dikonversi menjadi bilangan bulat.
permintaan security_result.summary Diekstrak dari pesan log menggunakan pola grok %{DATA:request}.
userid principal.user.userid Diekstrak dari pesan log menggunakan pola grok %{WORD:userid}.
T/A metadata.event_type Disetel ke STATUS_UPDATE oleh parser.
T/A metadata.log_type Diisi dari metadata log masuk.
T/A metadata.product_name Disetel ke Storage Area Network oleh parser.
T/A metadata.vendor_name Disetel ke NetApp oleh parser.
T/A security_result.severity Tetapkan ke ERROR jika log_level adalah Error.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.