Nutanix Prism のログを収集する

以下でサポートされています。

概要

このパーサーは、Nutanix Prism ログを処理し、JSON 形式と syslog 形式の両方を処理します。さまざまなログ構造からフィールドを抽出し、UDM に正規化して、ユーザー情報、ネットワークの詳細、セキュリティの重大度などの追加コンテキストでデータを拡充します。パーサーは、HTTP メソッドとログレベルに基づいて特定のアクションも実行し、イベントを USER_LOGINSTATUS_UPDATEGENERIC_EVENT などの UDM イベントタイプに分類します。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Nutanix Prism Central への特権アクセス権があることを確認します。
  • Windows 2012 SP2 以降または systemd を使用する Linux ホストがあることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM Settings] > [Collection Agents] に移動します。
  3. Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

  1. Bindplane エージェントがインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
      tcplog:
        # Replace the below port <54525> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Namespace
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 次のコマンドを使用して Bindplane Agent を再起動して、変更を適用します。 sudo systemctl bindplane restart

Nutanix Prism から Syslog をエクスポートする

  1. 特権アカウントを使用して Prism Central にログインします。
  2. メニューから [Prism Central Settings] を選択します。
  3. [Syslog Server] に移動します。
  4. [+ Syslog サーバーを構成] をクリックします。
  5. [Syslog Servers] ダイアログで、入力パラメータの値を指定します。
    • サーバー名: サーバーの名前を入力します(例: Google SecOps Bindplane Server)。
    • IP アドレス: Bindplane Agent の IP を入力します。
    • ポート: Bindplane エージェントがリッスンしているポートを入力します。
    • トランスポート プロトコル: [TCP] を選択します。
    • [構成] をクリックします。
  6. [データソース] オプションの [+ 編集] をクリックします。
  7. [データソースとそれぞれの重大度レベル] ダイアログで、入力パラメータの値を指定します。
    • [API 監査]、[監査]、[フロー] を選択します。
    • それぞれ重大度レベルを [6 - Informational] に設定します。
    • [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
@timestamp metadata.event_timestamp イベントのタイムスタンプは @timestamp フィールドから解析されます。yyyy-MM-dd HH:mm:ss.SSSyyyy-MM-ddTHH:mm:ssZISO8601 の形式がサポートされています。
agent.id observer.asset_id agent.type と組み合わせて、オブザーバー アセット ID を「agent.type:agent.id」形式で作成します。
agent.type observer.application モニタリングに使用されるアプリケーション。
agent.version observer.platform_version オブザーバー アプリケーションのバージョン。
alertUid security_result.detection_fields.value アラート UID の値は、detection_fields 内の value フィールドにマッピングされます。key は「アラート UID」に設定されます。
api_version metadata.product_version API バージョン
clientIp principal.ipprincipal.asset.ip クライアントの IP アドレス。
client_type principal.labels.value クライアント タイプの値。key は「client_type」に設定されます。
defaultMsg metadata.description デフォルトのメッセージ。
entity_uuid metadata.product_log_id エンティティ UUID。
http_method network.http.method HTTP メソッド。大文字に変換されました。
host.architecture principal.asset.hardware.cpu_platform ホストのアーキテクチャ。
host.id principal.asset_id 「NUTANIX:」の接頭辞が付いて、プリンシパル アセット ID が作成されます。
host.ip principal.ipprincipal.asset.ip ホストの IP アドレス。
host.mac principal.mac ホストの MAC アドレス。
host.os.kernel principal.platform_patch_level ホスト オペレーティング システムのカーネル バージョン。
host.os.platform principal.platform ホスト オペレーティング システムのプラットフォーム。LINUXWINDOWSMAC、または UNKNOWN_PLATFORM にマッピングされます。
host.os.version principal.platform_version ホスト オペレーティング システムのバージョン。
input.type network.ip_protocol ネットワーク プロトコル。「UDP」または「TCP」にマッピングされます。
log.source.address principal.ipprincipal.asset.ipprincipal.port 解析して送信元 IP とポートを抽出します。
logstash.collect.host observer.ip Logstash コレクタの IP アドレス。
logstash.collect.timestamp metadata.collected_timestamp ログが収集されたときのタイムスタンプ。
logstash.ingest.host intermediary.hostname logstash 取り込みサーバーのホスト名。
logstash.ingest.timestamp metadata.ingested_timestamp ログが取り込まれたときのタイムスタンプ。
logstash.irm_environment principal.labels.value irm 環境の値。key は「irm_environment」に設定されます。
logstash.irm_region principal.labels.value irm リージョンの値。key は「irm_region」に設定されます。
logstash.irm_site principal.labels.value irm サイトの値。key は「irm_site」に設定されます。
logstash.process.host intermediary.hostname logstash 処理サーバーのホスト名。
operationType metadata.product_event_type オペレーションのタイプ。
originatingClusterUuid additional.fields.value.string_value 元のクラスタの UUID。key は「Originating Cluster Uuid」に設定されます。
params.mac_address target.mac パラメータの MAC アドレス。
params.requested_ip_address target.iptarget.asset.ip パラメータからリクエストされた IP アドレス。
params.vm_name target.resource.name パラメータの VM 名。
program metadata.product_event_type プログラムの名前。
rest_endpoint target.url REST エンドポイント。
sessionId additional.fields.value.string_value セッション ID。key は「セッション ID」に設定されます。
syslog_host principal.hostnameprincipal.asset.hostname Syslog ホスト。
timestamp metadata.event_timestamp イベントのタイムスタンプ。
username principal.user.user_display_name または principal.user.userid ユーザー名。http_method が「POST」の場合、ユーザー ID として使用されます。
uuid metadata.product_log_id UUID。
なし metadata.vendor_name 「Nutanix_Prism」にハードコードされています。
なし metadata.product_name 「Nutanix_Prism」にハードコードされています。
なし metadata.event_type has_principalhas_targetaudit_lognetwork_sethttp_method の値に基づいて、パーサーのロジックによって決定されます。GENERIC_EVENTUSER_LOGINSTATUS_UPDATEUSER_RESOURCE_ACCESSRESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENT、または USER_RESOURCE_DELETION のいずれかです。
なし metadata.log_type 「NUTANIX_PRISM」にハードコードされています。
なし extensions.auth.type metadata.event_typeUSER_LOGIN の場合、「AUTHTYPE_UNSPECIFIED」に設定します。
なし security_result.severity log_levelsyslog_pri に基づくパーサー ロジックによって決定されます。CRITICALERRORHIGHMEDIUM、または INFORMATIONAL のいずれかです。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。