收集 Dell ECS 記錄
支援以下發布途徑:
Google secops
Siem
這個剖析器會從 DELL ECS 系統記錄檔訊息中擷取欄位,並將這些欄位對應至 UDM。這個類別專門處理 UPDATE 和 DELETE 事件類型,可擷取登入/登出事件的使用者和 IP 資訊。其他事件則歸類為 GENERIC_EVENT。它會使用 grok 模式剖析訊息,並變異篩選器來填入 UDM 欄位,並捨棄不符合預期格式的事件。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 請確認您使用的是 Windows 2016 或更新版本,或是支援
systemd的 Linux 主機。 - 如果在 Proxy 後方執行,請確認防火牆通訊埠已開啟。
- 確認您具備 Dell ECS 的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。在要安裝 Bindplane Agent 的系統上,安全地儲存檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」部分中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟命令提示字元或 PowerShell。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有 root 或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane Agent 擷取 Syslog 並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: dell_ecs raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels視基礎架構需求替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。在「取得 Google SecOps 攝入驗證檔案」部分,將
/path/to/ingestion-authentication-file.json更新為驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式以套用變更
在 Linux 中,如要重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent在 Windows 中,如要重新啟動 Bindplane 代理程式,您可以使用「Services」主控台,也可以輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 Dell ECS 將記錄轉送至 Syslog 伺服器
- 使用管理員憑證登入 ECS 管理入口網站。
- 依序前往「設定」>「事件通知」>「Syslog」。
- 按一下「New Server」。
- 提供下列詳細資料:
- 通訊協定:選取 UDP 或 TCP (請確認符合在 Syslog 伺服器上設定的通訊協定)。
- 目標:輸入 Syslog 伺服器的 IP 位址或完整網域名稱 (FQDN)。
- Port:輸入通訊埠編號。
- 嚴重性:選取「資訊」做為要轉送記錄的最低嚴重性等級。
- 按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| data | read_only_udm.metadata.description | 如果 eventType 為 UPDATE,系統會使用規則運算式從 data 欄位擷取說明。如果 eventType 為 DELETE,系統會使用規則運算式從 data 欄位擷取說明,並進一步處理來擷取使用者 ID。 |
| data | read_only_udm.principal.ip | 如果 eventType 為 UPDATE,系統會使用規則運算式從 data 欄位擷取 IP 位址。 |
| data | read_only_udm.target.resource.product_object_id | 如果 eventType 為 DELETE,系統會使用規則運算式從 data 欄位擷取 URN 符記。 |
| data | read_only_udm.target.user.userid | 如果 eventType 為 UPDATE,系統會使用規則運算式從 data 欄位擷取使用者 ID。如果 eventType 為「DELETE」,系統會在初始處理 data 欄位後,從說明欄位擷取使用者 ID。 |
| eventType | read_only_udm.metadata.event_type | 如果 eventType 為 UPDATE,且系統已擷取 userid,則事件類型會設為 USER_LOGIN。如果 eventType 為 DELETE,且系統已擷取 userid,則事件類型會設為 USER_LOGOUT。否則,事件類型會設為 GENERIC_EVENT。 |
| eventType | read_only_udm.metadata.product_event_type | 這個值是透過連結原始記錄檔中的 serviceType 和 eventType 欄位,並以方括號括住並以「-」分隔而得。 |
| 主機名稱 | read_only_udm.principal.asset.hostname | 主機名稱會從「主機名稱」欄位複製。 |
| 主機名稱 | read_only_udm.principal.hostname | 主機名稱會從「主機名稱」欄位複製。 |
| log_type | read_only_udm.metadata.log_type | 記錄類型設為 DELL_ECS。機制已硬式編碼為 MECHANISM_UNSPECIFIED。事件時間戳記會從原始記錄項目的「時間戳記」欄位複製。產品名稱已硬式編碼為 ECS。供應商名稱是以硬式編碼設為 DELL。如果 eventType 為 DELETE,資源類型就會硬式編碼為 CREDENTIAL。 |
| 時間戳記 | read_only_udm.metadata.event_timestamp | 事件時間戳記取自原始記錄項目的「時間戳記」欄位。 |
| 時間戳記 | 時間戳記 | 時間戳記會從原始記錄項目的 timestamp 欄位解析。 |
異動
2024-03-18
- 新建的剖析器。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。