Mengumpulkan log Cisco UCS
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log Cisco UCS ke Google Security Operations menggunakan Bindplane. Kode parser pertama-tama mencoba menguraikan pesan log mentah sebagai JSON. Jika gagal, alat ini akan menggunakan ekspresi reguler (pola grok) untuk mengekstrak kolom dari pesan berdasarkan format log Cisco UCS umum.
.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru atau host Linux dengan systemd
- Jika dijalankan di belakang proxy, port firewall terbuka
- Akses istimewa ke Cisco UCS
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
```cmd msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet ```
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
```bash sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh ```
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CISCO_UCS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```bash sudo systemctl restart bindplane-agent ```Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```cmd net stop BindPlaneAgent && net start BindPlaneAgent ```
Mengonfigurasi Syslog untuk Cisco UCS
- Login ke Cisco UCS Manager.
- Pilih tab Admin.
- Luaskan Faults, Events, and Audit Log.
- Pilih Syslog.
- Temukan kategori File, lalu pilih Diaktifkan untuk Status Admin.
- Pilih tingkat alarm dari menu (misalnya, Peringatan).
- Klik Simpan Perubahan.
- Temukan kategori Tujuan Jarak Jauh di sebelah kanan.
- Pilih Enabled untuk Server 1 Admin State.
- Berikan detail konfigurasi berikut:
- Level: Pilih Informasional.
- Nama host: Masukkan alamat IP Bindplane. Port default di UCS adalah
514. - Fasilitas: Pilih Local7.
- Klik Simpan Perubahan.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| application | read_only_udm.principal.application | Nilai diambil dari kolom 'application' yang diekstrak oleh pola Grok. |
| menurun | read_only_udm.security_result.description | Nilai yang diambil dari kolom 'desc' yang diekstrak oleh pola Grok. |
| menurun | read_only_udm.security_result.severity | Jika kolom 'desc' berisi Warning, tetapkan ke HIGH. |
| filename | read_only_udm.principal.process.file.full_path | Nilai yang diambil dari kolom 'filename' yang diekstrak oleh pola Grok. |
| file_size | read_only_udm.principal.process.file.size | Nilai yang diambil dari kolom 'file_size' yang diekstrak oleh pola Grok dan dikonversi menjadi bilangan bulat yang tidak bertanda. |
| host | read_only_udm.principal.ip | Nilai diambil dari kolom 'host' yang diekstrak oleh pola Grok. |
| hostname | read_only_udm.principal.hostname | Nilai yang diambil dari kolom 'hostname' yang diekstrak oleh pola Grok. |
| prod_evt_type | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom 'prod_evt_type' yang diekstrak oleh pola Grok. |
| pelanggan | read_only_udm.target.application | Nilai diambil dari kolom 'service' yang diekstrak oleh pola Grok. |
| tingkat keseriusan, | read_only_udm.security_result.severity | Jika kolom 'severity' berisi error (tidak peka huruf besar/kecil), tetapkan ke ERROR. |
| timestamp | read_only_udm.metadata.event_timestamp.seconds | Nilai yang diambil dari kolom 'timestamp' yang diekstrak oleh pola Grok dan diuraikan sebagai stempel waktu. |
| pengguna | read_only_udm.principal.user.userid | Nilai diambil dari kolom 'pengguna' yang diekstrak oleh pola Grok. |
| read_only_udm.extensions.auth.type | Disetel ke MACHINE jika kolom 'pengguna' tidak kosong. |
|
| read_only_udm.metadata.event_type | Logika berdasarkan keberadaan kolom: - USER_LOGIN jika kolom 'user' tidak kosong. - GENERIC_EVENT jika kolom 'hostname' dan 'host' kosong. - STATUS_UPDATE jika tidak. |
|
| read_only_udm.metadata.log_type | Hardcode ke CISCO_UCS. |
|
| read_only_udm.metadata.product_name | Hardcode ke Cisco UCS. |
|
| read_only_udm.metadata.vendor_name | Hardcode ke Cisco. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.