Dell EMC Isilon NAS のログを収集する
このドキュメントでは、Bindplane を使用して Dell EMC Isilon NAS ログを Google Security Operations に取り込む方法について説明します。Logstash パーサーコードは、まず grok パターンを使用して、DELL_EMC_NAS syslog メッセージからタイムスタンプ、IP アドレス、ユーザー名、ファイルパスなどのさまざまなフィールドを抽出します。次に、抽出されたフィールドを統合データモデル(UDM)スキーマ内の対応する属性にマッピングし、未加工のログデータを分析用の構造化形式に効果的に変換します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Dell EMC Isilon への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_NAS' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、手順 1 で認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
OneFS バージョン 7.x の Syslog を構成します。
- CLI を使用して Dell Isilon にログインします。
次のコマンドを使用して監査を有効にします(
zone_nameは実際のホストに置き換えてください)。isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write次のコマンドを使用して syslog 転送を有効にします。
isi zone zones modify <zone_name> --syslog-forwarding-enabled=yesSSH クライアントを使用して Isilon ノードに接続します。
/etc/mcp/templatesディレクトリにあるviを使用してsyslog.confファイルを開きます。vi syslog.conf!audit_protocol行を見つけて次の行を追加し、<bindplane-ip>を実際の Bindplane エージェントの IP アドレスに置き換えます。*.* @<bindplane-ip>syslog.confファイルを保存します。```bash :wq ```
OneFS バージョン 8.0 と 8.1 の Syslog を構成します。
- CLI を使用して Dell Isilon にログインします。
次のコマンドを使用して監査を有効にします(
zone_nameは実際のホストに置き換えてください)。isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write次のコマンドを使用して syslog 転送を有効にします。
isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>SSH クライアントを使用して Isilon ノードに接続します。
/etc/mcp/templatesディレクトリにあるviを使用してsyslog.confファイルを開きます。vi syslog.conf!audit_protocol行を見つけて次の行を追加し、<bindplane-ip>を実際の Bindplane Agent IP アドレスに置き換えます。*.* @<bindplane-ip>syslog.confファイルを保存します。:wq
OneFS バージョン 8.2 ~ 9.4 の Syslog を構成します。
次のコマンドを使用して監査を有効にします(
<bindplane-ipは Bindplane エージェントの IP アドレスに、zone_nameは実際のホストに置き換えます)。isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <bindplane-ip> isi audit settings modify --zone <zone_name> --audit-success create,delete,read,renam,set_security,write isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write次のコマンドを使用して syslog 転送を有効にします。
isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| COMMAND | target.process.command_line | 未加工ログ フィールド COMMAND は、この UDM フィールドにマッピングされます。 |
| PWD | target.file.full_path | message に command not allowed が含まれていない場合、未加工ログ フィールド PWD は、この UDM フィールドにマッピングされます。 |
| USER | principal.user.userid | 未加工ログ フィールド USER は、この UDM フィールドにマッピングされます。 |
| action_done | 解析ロジックに使用される一時変数。 | |
| アプリケーション | target.application | 未加工ログ フィールド application は、この UDM フィールドにマッピングされます。 |
| データ | このフィールドは UDM にマッピングされません。 | |
| 説明 | metadata.description | 未加工ログ フィールド description は、この UDM フィールドにマッピングされます。また、message に command not allowed が含まれている場合、command not allowed はこのフィールドにマッピングされます。 |
| file_name | target.file.full_path | 未加工ログフィールド file_name は、この UDM フィールドにマッピングされます。 |
| intermediary_ip | intermediary.ip | 未加工ログ フィールド intermediary_ip は、この UDM フィールドにマッピングされます。 |
| kv_data | 解析ロジックに使用される一時変数。 | |
| method | 解析ロジックに使用される一時変数。 | |
| pid | target.process.pid | 未加工ログの pid フィールドが空でないか - でない場合、この UDM フィールドにマッピングされます。 |
| resource_type | target.resource.type | 未加工ログ フィールド resource_type は、この UDM フィールドにマッピングされます。 |
| src_host | principal.hostname | 未加工ログ フィールド src_host は、この UDM フィールドにマッピングされます。 |
| src_ip | principal.ip | 未加工ログ フィールド src_ip は、この UDM フィールドにマッピングされます。Grok パターンを使用して description フィールドから抽出することもできます。 |
| ステータス | 解析ロジックに使用される一時変数。 | |
| ts | metadata.event_timestamp.seconds | 未加工ログフィールド ts が解析され、その秒単位の値がこの UDM フィールドにマッピングされます。 |
| ユーザー | principal.user.userid | USER が空の場合、未加工ログフィールド user がこの UDM フィールドにマッピングされます。 |
| wsid | principal.user.windows_sid | 未加工ログフィールド wsid は、` の後の文字を削除した後に、この UDM フィールドにマッピングされます。 |
| なし | metadata.event_type | この UDM フィールドは、action_done、method、PWD の値に基づいてパーサー ロジックから導出されます。PROCESS_UNCATEGORIZED、PROCESS_OPEN、FILE_CREATION、FILE_OPEN、FILE_DELETION、FILE_MODIFICATION、FILE_UNCATEGORIZED、STATUS_SHUTDOWN(デフォルト)のいずれかです。 |
| なし | security_result.action | この UDM フィールドは、status の値に基づいてパーサー ロジックから取得されます。ALLOW または BLOCK のいずれかを減算してもかまいません。 |
| なし | security_result.summary | この UDM フィールドはパーサー ロジックから派生し、action_done の値が設定されます。 |
| なし | security_result.description | この UDM フィールドは、method と status の値を - セパレータで連結することで、パーサー ロジックから導出されます。 |
| なし | metadata.vendor_name | この UDM フィールドは DELL にハードコードされています。 |
| なし | metadata.product_name | この UDM フィールドは DELL_EMC_NAS にハードコードされています。 |
| なし | metadata.log_type | この UDM フィールドは DELL_EMC_NAS にハードコードされています。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。