Nutanix Prism のログを収集する
以下でサポートされています。
Google SecOps
SIEM
概要
このパーサーは、Nutanix Prism ログを処理し、JSON 形式と syslog 形式の両方を処理します。さまざまなログ構造からフィールドを抽出し、UDM に正規化して、ユーザー情報、ネットワークの詳細、セキュリティの重大度などの追加コンテキストでデータを拡充します。パーサーは、HTTP メソッドとログレベルに基づいて特定のアクションも実行し、イベントを USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT などの UDM イベントタイプに分類します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Nutanix Prism Central への特権アクセス権があることを確認します。
- Windows 2012 SP2 以降または systemd を使用する Linux ホストがあることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM Settings] > [Collection Agents] に移動します。
- Ingestion Authentication File をダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
。 - Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
。 - その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する
- Bindplane エージェントがインストールされているマシンにアクセスします。
config.yaml
ファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Namespace raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
次のコマンドを使用して Bindplane Agent を再起動して、変更を適用します。
sudo systemctl bindplane restart
Nutanix Prism から Syslog をエクスポートする
- 特権アカウントを使用して Prism Central にログインします。
- メニューから [Prism Central Settings] を選択します。
- [Syslog Server] に移動します。
- [+ Syslog サーバーを構成] をクリックします。
- [Syslog Servers] ダイアログで、入力パラメータの値を指定します。
- サーバー名: サーバーの名前を入力します(例: Google SecOps Bindplane Server)。
- IP アドレス: Bindplane Agent の IP を入力します。
- ポート: Bindplane エージェントがリッスンしているポートを入力します。
- トランスポート プロトコル: [TCP] を選択します。
- [構成] をクリックします。
- [データソース] オプションの [+ 編集] をクリックします。
- [データソースとそれぞれの重大度レベル] ダイアログで、入力パラメータの値を指定します。
- [API 監査]、[監査]、[フロー] を選択します。
- それぞれ重大度レベルを [6 - Informational] に設定します。
- [保存] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | 論理 |
---|---|---|
@timestamp |
metadata.event_timestamp |
イベントのタイムスタンプは @timestamp フィールドから解析されます。yyyy-MM-dd HH:mm:ss.SSS 、yyyy-MM-ddTHH:mm:ssZ 、ISO8601 の形式がサポートされています。 |
agent.id |
observer.asset_id |
agent.type と組み合わせて、オブザーバー アセット ID を「agent.type:agent.id」形式で作成します。 |
agent.type |
observer.application |
モニタリングに使用されるアプリケーション。 |
agent.version |
observer.platform_version |
オブザーバー アプリケーションのバージョン。 |
alertUid |
security_result.detection_fields.value |
アラート UID の値は、detection_fields 内の value フィールドにマッピングされます。key は「アラート UID」に設定されます。 |
api_version |
metadata.product_version |
API バージョン |
clientIp |
principal.ip 、principal.asset.ip |
クライアントの IP アドレス。 |
client_type |
principal.labels.value |
クライアント タイプの値。key は「client_type」に設定されます。 |
defaultMsg |
metadata.description |
デフォルトのメッセージ。 |
entity_uuid |
metadata.product_log_id |
エンティティ UUID。 |
http_method |
network.http.method |
HTTP メソッド。大文字に変換されました。 |
host.architecture |
principal.asset.hardware.cpu_platform |
ホストのアーキテクチャ。 |
host.id |
principal.asset_id |
「NUTANIX:」の接頭辞が付いて、プリンシパル アセット ID が作成されます。 |
host.ip |
principal.ip 、principal.asset.ip |
ホストの IP アドレス。 |
host.mac |
principal.mac |
ホストの MAC アドレス。 |
host.os.kernel |
principal.platform_patch_level |
ホスト オペレーティング システムのカーネル バージョン。 |
host.os.platform |
principal.platform |
ホスト オペレーティング システムのプラットフォーム。LINUX 、WINDOWS 、MAC 、または UNKNOWN_PLATFORM にマッピングされます。 |
host.os.version |
principal.platform_version |
ホスト オペレーティング システムのバージョン。 |
input.type |
network.ip_protocol |
ネットワーク プロトコル。「UDP」または「TCP」にマッピングされます。 |
log.source.address |
principal.ip 、principal.asset.ip 、principal.port |
解析して送信元 IP とポートを抽出します。 |
logstash.collect.host |
observer.ip |
Logstash コレクタの IP アドレス。 |
logstash.collect.timestamp |
metadata.collected_timestamp |
ログが収集されたときのタイムスタンプ。 |
logstash.ingest.host |
intermediary.hostname |
logstash 取り込みサーバーのホスト名。 |
logstash.ingest.timestamp |
metadata.ingested_timestamp |
ログが取り込まれたときのタイムスタンプ。 |
logstash.irm_environment |
principal.labels.value |
irm 環境の値。key は「irm_environment」に設定されます。 |
logstash.irm_region |
principal.labels.value |
irm リージョンの値。key は「irm_region」に設定されます。 |
logstash.irm_site |
principal.labels.value |
irm サイトの値。key は「irm_site」に設定されます。 |
logstash.process.host |
intermediary.hostname |
logstash 処理サーバーのホスト名。 |
operationType |
metadata.product_event_type |
オペレーションのタイプ。 |
originatingClusterUuid |
additional.fields.value.string_value |
元のクラスタの UUID。key は「Originating Cluster Uuid」に設定されます。 |
params.mac_address |
target.mac |
パラメータの MAC アドレス。 |
params.requested_ip_address |
target.ip 、target.asset.ip |
パラメータからリクエストされた IP アドレス。 |
params.vm_name |
target.resource.name |
パラメータの VM 名。 |
program |
metadata.product_event_type |
プログラムの名前。 |
rest_endpoint |
target.url |
REST エンドポイント。 |
sessionId |
additional.fields.value.string_value |
セッション ID。key は「セッション ID」に設定されます。 |
syslog_host |
principal.hostname 、principal.asset.hostname |
Syslog ホスト。 |
timestamp |
metadata.event_timestamp |
イベントのタイムスタンプ。 |
username |
principal.user.user_display_name または principal.user.userid |
ユーザー名。http_method が「POST」の場合、ユーザー ID として使用されます。 |
uuid |
metadata.product_log_id |
UUID。 |
なし | metadata.vendor_name |
「Nutanix_Prism」にハードコードされています。 |
なし | metadata.product_name |
「Nutanix_Prism」にハードコードされています。 |
なし | metadata.event_type |
has_principal 、has_target 、audit_log 、network_set 、http_method の値に基づいて、パーサーのロジックによって決定されます。GENERIC_EVENT 、USER_LOGIN 、STATUS_UPDATE 、USER_RESOURCE_ACCESS 、RESOURCE_CREATION 、USER_RESOURCE_UPDATE_CONTENT 、または USER_RESOURCE_DELETION のいずれかです。 |
なし | metadata.log_type |
「NUTANIX_PRISM」にハードコードされています。 |
なし | extensions.auth.type |
metadata.event_type が USER_LOGIN の場合、「AUTHTYPE_UNSPECIFIED」に設定します。 |
なし | security_result.severity |
log_level と syslog_pri に基づくパーサー ロジックによって決定されます。CRITICAL 、ERROR 、HIGH 、MEDIUM 、または INFORMATIONAL のいずれかです。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。