收集 Dell EMC Isilon NAS 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Dell EMC Isilon NAS 日志注入到 Google 安全运营中心。Logstash 解析器代码首先使用 grok 模式从 DELL_EMC_NAS syslog 消息中提取时间戳、IP 地址、用户名和文件路径等各种字段。然后,它会将提取的字段映射到统一数据模型 (UDM) 架构中的相应属性,从而有效地将原始日志数据转换为结构化格式以进行分析。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或搭载 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于打开状态
  • 对 Dell EMC Isilon 的特权访问权限

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_NAS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为第 1 步中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

为 OneFS 版本 7.x 配置 Syslog:

  1. 使用 CLI 登录 Dell Isilon

  2. 使用以下命令启用审核(将 zone_name 替换为实际主机):

    isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 使用以下命令启用 syslog 转发:

    isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

  4. 使用 SSH 客户端连接到 Isilon 节点。

  5. 使用位于 /etc/mcp/templates 目录中的 vi 打开 syslog.conf 文件。

    vi syslog.conf

  6. 找到 !audit_protocol 代码行并添加以下代码行,将 <bindplane-ip> 替换为实际的 Bindplane 代理 IP 地址:

    *.* @<bindplane-ip>

  7. 保存 syslog.conf 文件:

    ```bash
:wq
```

为 OneFS 8.0 和 8.1 版本配置 Syslog:

  1. 使用 CLI 登录 Dell Isilon

  2. 使用以下命令启用审核(将 zone_name 替换为实际主机):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  3. 使用以下命令启用 syslog 转发:

    isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

  4. 使用 SSH 客户端连接到 Isilon 节点。

  5. 使用位于 /etc/mcp/templates 目录中的 vi 打开 syslog.conf 文件。

    vi syslog.conf

  6. 找到 !audit_protocol 代码行并添加以下代码行,将 <bindplane-ip> 替换为实际的 Bindplane 代理 IP 地址:

    *.* @<bindplane-ip>

  7. 保存 syslog.conf 文件:

    :wq

为 OneFS 8.2 到 9.4 版配置 Syslog:

  1. 使用以下命令启用审核(将 <bindplane-ip 替换为 Bindplane 代理 IP 地址,将 zone_name 替换为实际主机):

    isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip>
isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write
isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

  2. 使用以下命令启用 syslog 转发:

    isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

UDM 映射表

日志字段 UDM 映射 逻辑
COMMAND target.process.command_line 原始日志字段 COMMAND 会映射到此 UDM 字段。
PWD target.file.full_path message 不包含 command not allowed 时,原始日志字段 PWD 会映射到此 UDM 字段。
用户 principal.user.userid 原始日志字段 USER 会映射到此 UDM 字段。
action_done 用于解析逻辑的临时变量。
应用 target.application 原始日志字段 application 会映射到此 UDM 字段。
数据 此字段未映射到 UDM。
说明 metadata.description 原始日志字段 description 会映射到此 UDM 字段。此外,当 message 包含 command not allowed 时,command not allowed 会映射到此字段。
file_name target.file.full_path 移除所有“file_name
intermediary_ip intermediary.ip 原始日志字段 intermediary_ip 会映射到此 UDM 字段。
kv_data 用于解析逻辑的临时变量。
方法 用于解析逻辑的临时变量。
pid target.process.pid 如果原始日志字段 pid 不为空或不为 -,则会映射到此 UDM 字段。
resource_type target.resource.type 原始日志字段 resource_type 会映射到此 UDM 字段。
src_host principal.hostname 原始日志字段 src_host 会映射到此 UDM 字段。
src_ip principal.ip 原始日志字段 src_ip 会映射到此 UDM 字段。您还可以使用 Grok 模式从 description 字段中提取该值。
状态 用于解析逻辑的临时变量。
ts metadata.event_timestamp.seconds 系统会解析原始日志字段 ts,并将其秒数值映射到此 UDM 字段。
用户 principal.user.userid 如果 USER 为空,则原始日志字段 user 会映射到此 UDM 字段。
wsid principal.user.windows_sid 移除“”后面的所有字符,原始日志字段 wsid 会映射到此 UDM 字段
不适用 metadata.event_type 此 UDM 字段是根据 action_donemethodPWD 的值从解析器逻辑派生的。可以是以下各项之一:PROCESS_UNCATEGORIZEDPROCESS_OPENFILE_CREATIONFILE_OPENFILE_DELETIONFILE_MODIFICATIONFILE_UNCATEGORIZEDSTATUS_SHUTDOWN(默认)。
不适用 security_result.action 此 UDM 字段是根据 status 的值从解析器逻辑派生的。可为 ALLOWBLOCK
不适用 security_result.summary 此 UDM 字段派生自解析器逻辑,并填充了 action_done 的值。
不适用 security_result.description 此 UDM 字段是通过将 methodstatus 的值与 - 分隔符串联而派生自解析器逻辑。
不适用 metadata.vendor_name 此 UDM 字段已硬编码为 DELL
不适用 metadata.product_name 此 UDM 字段已硬编码为 DELL_EMC_NAS
不适用 metadata.log_type 此 UDM 字段已硬编码为 DELL_EMC_NAS

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。