Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Nutanix Prism

Didukung di:

Google secops SIEM

Ringkasan

Parser ini memproses log Nutanix Prism, menangani format JSON dan syslog. Proses ini mengekstrak kolom dari berbagai struktur log, menormalisasinya ke dalam UDM, dan memperkaya data dengan konteks tambahan seperti informasi pengguna, detail jaringan, dan tingkat keparahan keamanan. Parser juga melakukan tindakan tertentu berdasarkan metode HTTP dan tingkat log, mengategorikan peristiwa ke dalam jenis peristiwa UDM seperti USER_LOGIN, STATUS_UPDATE, dan GENERIC_EVENT.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda memiliki akses istimewa ke Nutanix Prism Central.
Pastikan Anda memiliki host Windows 2012 SP2 atau yang lebih baru atau Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

Akses komputer tempat BindPlane Agent diinstal.

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Namespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Bindplane Agent untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengekspor Syslog dari Nutanix Prism

Login ke Prism Central menggunakan akun istimewa.
Pilih Prism Central Settings dari menu.
Buka Syslog Server.
Klik + Configure Syslog Server.
Tentukan nilai untuk parameter input dalam dialog Syslog Servers:
- Server Name: Masukkan nama untuk server (misalnya, Google SecOps Bindplane Server)
- Alamat IP: Masukkan IP Agen Bindplane Anda.
- Port: Masukkan port tempat BindPlane Agent memproses.
- Transport Protocol: Pilih TCP.
- Klik Configure.
Klik + Edit pada opsi Sumber Data.
Tentukan nilai untuk parameter input dalam dialog Sumber Data dan Tingkat Keparahan yang Sesuai:
- Pilih Audit API, Audit, dan Flow.
- Tetapkan Tingkat Keparahan untuk setiap pelanggaran pada 6 - Informasi.
- Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`@timestamp`	`metadata.event_timestamp`	Stempel waktu peristiwa diuraikan dari kolom `@timestamp`. Format `yyyy-MM-dd HH:mm:ss.SSS`, `yyyy-MM-ddTHH:mm:ssZ`, dan `ISO8601` didukung.
`agent.id`	`observer.asset_id`	Digabungkan dengan `agent.type` untuk membentuk ID aset pengamat dalam format "agent.type:agent.id".
`agent.type`	`observer.application`	Aplikasi yang digunakan untuk pengamatan.
`agent.version`	`observer.platform_version`	Versi aplikasi pengamat.
`alertUid`	`security_result.detection_fields.value`	Nilai UID pemberitahuan dipetakan ke kolom `value` dalam `detection_fields`. `key` ditetapkan ke "Alert Uid".
`api_version`	`metadata.product_version`	Versi API.
`clientIp`	`principal.ip`, `principal.asset.ip`	Alamat IP klien.
`client_type`	`principal.labels.value`	Nilai jenis klien. `key` ditetapkan ke "client_type".
`defaultMsg`	`metadata.description`	Pesan default.
`entity_uuid`	`metadata.product_log_id`	UUID Entitas.
`http_method`	`network.http.method`	Metode HTTP. Dikonversi menjadi huruf besar.
`host.architecture`	`principal.asset.hardware.cpu_platform`	Arsitektur host.
`host.id`	`principal.asset_id`	Diawali dengan "NUTANIX:" untuk membuat ID aset utama.
`host.ip`	`principal.ip`, `principal.asset.ip`	Alamat IP host.
`host.mac`	`principal.mac`	Alamat MAC host.
`host.os.kernel`	`principal.platform_patch_level`	Versi kernel sistem operasi host.
`host.os.platform`	`principal.platform`	Platform sistem operasi host. Dipetakan ke `LINUX`, `WINDOWS`, `MAC`, atau `UNKNOWN_PLATFORM`.
`host.os.version`	`principal.platform_version`	Versi sistem operasi host.
`input.type`	`network.ip_protocol`	Protokol jaringan. Dipetakan ke "UDP" atau "TCP".
`log.source.address`	`principal.ip`, `principal.asset.ip`, `principal.port`	Diuraikan untuk mengekstrak IP dan port sumber.
`logstash.collect.host`	`observer.ip`	Alamat IP pengumpul logstash.
`logstash.collect.timestamp`	`metadata.collected_timestamp`	Stempel waktu saat log dikumpulkan.
`logstash.ingest.host`	`intermediary.hostname`	Nama host server penyerapan logstash.
`logstash.ingest.timestamp`	`metadata.ingested_timestamp`	Stempel waktu saat log dimasukkan.
`logstash.irm_environment`	`principal.labels.value`	Nilai lingkungan irm. `key` disetel ke "irm_environment".
`logstash.irm_region`	`principal.labels.value`	Nilai wilayah irm. `key` ditetapkan ke "irm_region".
`logstash.irm_site`	`principal.labels.value`	Nilai situs irm. `key` disetel ke "irm_site".
`logstash.process.host`	`intermediary.hostname`	Nama host server pemrosesan logstash.
`operationType`	`metadata.product_event_type`	Jenis operasi.
`originatingClusterUuid`	`additional.fields.value.string_value`	UUID cluster asal. `key` ditetapkan ke "Originating Cluster Uuid".
`params.mac_address`	`target.mac`	Alamat MAC dari parameter.
`params.requested_ip_address`	`target.ip`, `target.asset.ip`	Alamat IP yang diminta dari parameter.
`params.vm_name`	`target.resource.name`	Nama VM dari parameter.
`program`	`metadata.product_event_type`	Nama program.
`rest_endpoint`	`target.url`	Endpoint REST.
`sessionId`	`additional.fields.value.string_value`	ID sesi. `key` ditetapkan ke "ID Sesi".
`syslog_host`	`principal.hostname`, `principal.asset.hostname`	Host syslog.
`timestamp`	`metadata.event_timestamp`	Stempel waktu peristiwa.
`username`	`principal.user.user_display_name` atau `principal.user.userid`	Nama pengguna. Digunakan sebagai ID pengguna jika `http_method` adalah "POST".
`uuid`	`metadata.product_log_id`	UUID.
T/A	`metadata.vendor_name`	Dikodekan secara permanen ke "Nutanix_Prism".
T/A	`metadata.product_name`	Dikodekan secara permanen ke "Nutanix_Prism".
T/A	`metadata.event_type`	Ditentukan oleh logika parser berdasarkan nilai `has_principal`, `has_target`, `audit_log`, `network_set`, dan `http_method`. Dapat berupa `GENERIC_EVENT`, `USER_LOGIN`, `STATUS_UPDATE`, `USER_RESOURCE_ACCESS`, `RESOURCE_CREATION`, `USER_RESOURCE_UPDATE_CONTENT`, atau `USER_RESOURCE_DELETION`.
T/A	`metadata.log_type`	Dikodekan secara permanen ke "NUTANIX_PRISM".
T/A	`extensions.auth.type`	Ditetapkan ke "AUTHTYPE_UNSPECIFIED" jika `metadata.event_type` adalah `USER_LOGIN`.
T/A	`security_result.severity`	Ditentukan oleh logika parser berdasarkan `log_level` dan `syslog_pri`. Dapat berupa `CRITICAL`, `ERROR`, `HIGH`, `MEDIUM`, atau `INFORMATIONAL`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.