VMware vCenter ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して VMware vCenter ログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工ログを統合データモデル(UDM)に変換します。最初にログデータを JSON として解析しようとし、失敗した場合は、データを syslog メッセージとして扱い、grok パターンを使用してフィールドを抽出し、UDM スキーマにマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認する
- VMware vCenter への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'VMWARE_VCENTER' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
VMware vCenter の Syslog を構成する
- vCenter Server Management ウェブ UI にログインします。
- [Syslog] > [Forwarding Configuration] > [Configure] に移動します。
- [転送構成を作成] を選択し、Bindplane エージェントの IP アドレスを入力します。
- [プロトコル] プルダウンから、実際の Bindplane エージェントの構成に応じて [UDP] または [TCP] を選択します。
- [ポート] セクションに、Bindplane エージェントのポート番号を入力します。
- [保存] をクリックします。
- [テスト メッセージを送信] をクリックして、メッセージが受信されたことを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
Access Mask |
principal.process.access_mask | 16 進数から 10 進数に変換されました。 |
Account Domain |
principal.administrative_domain | |
Account Name |
principal.user.userid | |
ApplicationProtocol |
additional.fields | |
Authentication Package |
security_result.about.resource.name | |
Client Address |
principal.ip、principal.asset.ip | IP として解析されます。 |
Client Port |
principal.port | 整数に変換されます。 |
cmd |
target.process.command_line | |
date |
timestamp | yyyy-MM-dd として解析され、yyyy-MM-dd HH:mm:ss として時間にマージされて、日付として解析されます。 |
date_time |
timestamp | RFC 3339、TIMESTAMP_ISO8601、SYSLOGTIMESTAMP 形式の日付として解析されます。 |
desc |
metadata.description | |
eventid |
metadata.product_event_type | タスクとマージされ、eventid - task となりました。 |
host_name |
principal.hostname、principal.asset.hostname | |
http_method |
network.http.method | |
ip |
target.ip、target.asset.ip | |
kv_data1 |
Key-Value ペアとして解析されます。 | |
kv_data2 |
Key-Value ペアとして解析されます。 | |
kv_msg1.cipher |
network.tls.cipher | |
kv_msg1.ctladdr |
intermediary.labels | |
kv_msg1.daemon |
security_result.about.labels | |
kv_msg1.from |
network.email.from | mail_from に @ が含まれていない場合は、@local が追加されます。 |
kv_msg1.msgid |
network.email.mail_id | |
kv_msg1.proto |
security_result.about.labels | |
kv_msg1.relay |
intermediary.hostname、intermediary.ip | (HOSTNAME)として解析されたか?[IP] または HOSTNAME。relay_domain が存在する場合は intermediary.hostname に設定し、relay_ip が存在する場合は intermediary.ip に統合します。 |
kv_msg1.size |
network.sent_bytes | 符号なし整数に変換されます。 |
kv_msg1.stat |
security_result.summary | |
kv_msg1.verify |
security_result.description、security_result.action | kv_msg1.verify が FAIL の場合、security_result.action は BLOCK に設定されます。 |
kv_msg1.version |
network.tls.version | |
labels.log_type |
metadata.product_event_type | |
labels.net.host.ip |
principal.ip、principal.asset.ip | |
labels.net.host.port |
principal.port | |
labels.net.peer.ip |
target.ip、target.asset.ip | |
labels.net.peer.port |
target.port | |
labels.net.transport |
network.ip_protocol | labels.net.transport が TCP の場合は TCP。 |
level |
security_result.severity | レベルが INFO/Informational/DEBUG/info/Information の場合は INFORMATIONAL、レベルが ERROR/error の場合は ERROR、レベルが WARNING の場合は LOW。 |
log.file.path |
target.process.file.full_path | |
logName |
security_result.category_details | |
Logon Account |
principal.user.userid | |
Logon Type |
extensions.auth.mechanism | logon_type が 2/Interactive の場合は INTERACTIVE、logon_type が 3/8 の場合は NETWORK、logon_type が 4 の場合は BATCH、logon_type が 5 の場合は SERVICE、logon_type が 7 の場合は UNLOCK、logon_type が 9 の場合は NEW_CREDENTIALS、logon_type が 10 の場合は REMOTE_INTERACTIVE、logon_type が 11 の場合は CACHED_INTERACTIVE、それ以外の場合は MECHANISM_UNSPECIFIED。 |
mail_from |
network.email.from | mail_from に @ が含まれていない場合は、@local が追加されます。 |
mail_to |
network.email.to | mail_to に @ が含まれていない場合は、@local が追加されます。 |
message |
grok パターンで解析されます。 | |
namespace |
principal.namespace | |
port |
target.port | 整数に変換されます。 |
process_id |
target.process.pid | |
providername |
principal.application | |
Relative Target Name |
target.file.full_path | |
resource.labels.project_id |
src.cloud.project.id | |
resource.type |
src.labels | |
response_status |
network.http.response_code | 整数に変換されます。 |
sec_desc |
security_result.description | |
Security ID |
target.user.windows_sid | |
security_result_action_detail |
security_result.action_details | |
server_name |
target.hostname、target.asset.hostname | |
Share Name |
target.resource.name | |
Source Network Address |
principal.ip、principal.asset.ip | IP として解析されます。 |
Source Port |
principal.port | 整数に変換されます。 |
summary |
security_result.summary | |
target_host |
target.hostname、target.asset.hostname | |
target_url |
target.url | |
target_userid |
target.user.userid | |
time |
timestamp | HH:mm:ss として解析され、日付と yyyy-MM-dd HH:mm:ss として結合されて、日付として解析されます。 |
upn_name |
intermediary.url | |
URL |
target.url | |
User ID |
target.user.windows_sid | |
user_id |
principal.user.userid | |
UserAgent |
network.http.user_agent | |
| metadata.event_type | msg に API_HEALTH または JobDispatcher が含まれている場合は STATUS_UPDATE に設定します。msg に logged in as が含まれていて、target_userid が空でない場合は USER_LOGIN に設定します。msg に Leave Validate. が含まれている場合は SCAN_HOST に設定します。msg に Getting IP Address from host が含まれている場合は NETWORK_UNCATEGORIZED に設定します。msg に Wrote vpxd health が含まれている場合は RESOURCE_WRITTEN に設定します。has_principal と has_target が true で、application_protocol が空でない場合は NETWORK_HTTP に設定します。process_id と cmd が空でない場合は PROCESS_LAUNCH に設定します。user_id が空でないか、eventid が 4776 の場合は USER_UNCATEGORIZED に設定します。eventid が 4624/4768/4769 の場合は USER_LOGIN に設定します。eventid が 4634/4647 の場合は USER_LOGOUT に設定します。eventid が 5145 の場合は USER_RESOURCE_ACCESS に設定します。host_name が空でない場合は STATUS_UPDATE に設定します。それ以外の場合は GENERIC_EVENT に設定します。 | |
| extensions.auth.type | eventid が 4624、4768、4769 の場合は MACHINE に設定します。 | |
| metadata.log_type | VMWARE_VCENTER に設定します。 | |
| metadata.vendor_name | VMWARE に設定します。 | |
| metadata.product_name | VCENTER に設定します。 | |
| security_result.action | response_status が 200 またはアクションが Allow の場合は ALLOW に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。