Cisco UCS のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Cisco UCS ログを Google Security Operations に取り込む方法について説明します。パーサー コードは、まず未加工のログ メッセージを JSON として解析しようとします。これが失敗した場合は、正規表現(grok パターン)を使用して、一般的な Cisco UCS ログ形式に基づいてメッセージからフィールドを抽出します。。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Cisco UCS への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    ```bash
sudo systemctl restart bindplane-agent
```

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cisco UCS の Syslog を構成する

  1. Cisco UCS Manager にログインします。
  2. [アナリティクス設定] タブをクリックします。
  3. [Faults, Events, and Audit Log] を開きます。
  4. [Syslog] を選択します。
  5. [File] カテゴリを見つけて、管理状態に [Enabled] を選択します。
  6. メニューからアラートレベル(警告など)を選択します。
  7. [変更を保存] をクリックします。
  8. 右側の [リモート デスティネーション] カテゴリを見つけます。
  9. [Server 1 Admin State] で [Enabled] を選択します。
  10. 次の構成情報を提供してください。
    • レベル: [情報] を選択します。
    • ホスト名: Bindplane の IP アドレスを入力します。UCS のデフォルト ポートは 514 です。
    • Facility: [Local7] を選択します。
  11. [変更を保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
アプリケーション read_only_udm.principal.application Grok パターンによって抽出された「application」フィールドから取得された値。
降順 read_only_udm.security_result.description Grok パターンによって抽出された「desc」フィールドから取得された値。
降順 read_only_udm.security_result.severity [desc] フィールドに Warning が含まれている場合は、HIGH に設定します。
filename read_only_udm.principal.process.file.full_path Grok パターンによって抽出された「filename」フィールドから取得された値。
file_size read_only_udm.principal.process.file.size Grok パターンによって抽出された「file_size」フィールドから取得され、符号なし整数に変換された値。
ホスト read_only_udm.principal.ip Grok パターンによって抽出された「host」フィールドから取得された値。
hostname read_only_udm.principal.hostname Grok パターンによって抽出された「hostname」フィールドから取得された値。
prod_evt_type read_only_udm.metadata.product_event_type Grok パターンによって抽出された「prod_evt_type」フィールドから取得された値。
サービス read_only_udm.target.application Grok パターンによって抽出された「service」フィールドから取得された値。
重要度 read_only_udm.security_result.severity [severity] フィールドに error が含まれている場合(大文字と小文字を区別しない)、ERROR に設定します。
timestamp read_only_udm.metadata.event_timestamp.seconds Grok パターンによって抽出された「timestamp」フィールドから取得され、タイムスタンプとして解析される値。
ユーザー read_only_udm.principal.user.userid Grok パターンによって抽出された「user」フィールドから取得された値。
read_only_udm.extensions.auth.type 「user」フィールドが空でない場合、MACHINE に設定します。
read_only_udm.metadata.event_type フィールドの存在に基づくロジック:
- 「user」フィールドが空でない場合、USER_LOGIN
- 「hostname」フィールドと「host」フィールドの両方が空の場合、GENERIC_EVENT
- それ以外の場合は STATUS_UPDATE
read_only_udm.metadata.log_type CISCO_UCS にハードコードされています。
read_only_udm.metadata.product_name Cisco UCS にハードコードされています。
read_only_udm.metadata.vendor_name Cisco にハードコードされています。

変更点

2022-07-04

機能強化:

  • パーサーを新しく作成しました。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。