本頁面由 Cloud Translation API 翻譯而成。

收集 HPE iLO 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何使用 Bindplane，將 HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) 記錄匯入 Google Security Operations。剖析器程式碼會先嘗試將原始記錄訊息剖析為 JSON。如果失敗，就會使用規則運算式 (grok 模式)，根據常見的 HP iLO 記錄格式從訊息中擷取欄位。

事前準備

請確認您已完成下列事前準備：

Google SecOps 執行個體
Windows 2016 以上版本或 Linux 主機 (使用 systemd)
如果在 Proxy 後方執行，防火牆通訊埠會開啟
HPE iLO 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在將安裝 Bindplane 的系統中。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟命令提示字元或 PowerShell。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有 root 或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，以便擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
在「取得 Google SecOps 攝入驗證檔案」部分，將 /path/to/ingestion-authentication-file.json 更新為驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，您可以使用「Services」主控台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 HP iLO 中設定 Syslog

登入 HPE iLO 網路 UI。
依序前往「管理」分頁的「> 遠端 Syslog」。
按一下「啟用」iLO 遠端 Syslog。
提供下列設定詳細資料：
- 遠端系統記錄檔通訊埠：輸入 Bindplane 通訊埠編號 (例如 514)。
- 遠端系統記錄檔伺服器：輸入 Bindplane IP 位址。
按一下「Send Test Syslog」，並確認 Google SecOps 是否已收到。
按一下 [套用]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`data`		系統會剖析這個欄位，並根據內容對應至各種 UDM 欄位。
`data.HOSTNAME`	principal.hostname	當「message」欄位中的第一個 Grok 模式相符，或「description」欄位包含「Host」時，系統會將該欄位對應至此。判斷 event_type 是否為 STATUS_UPDATE。
`data.HOSTNAME`	network.dns.questions.name	由 grok 模式填入，與「message」中的「DATA」相符。如果不為空白且不含「(?i)not found」，則用於填入 dns.questions。
`data.HOSTNAME`	target.user.user_display_name	由 grok 模式填入，與「message」中的「DATA」相符。
`data.IP`	target.ip	由 grok 模式填入，與「message」或「summary」中的「IP」相符。
`data.WORD`	metadata.product_event_type	由 grok 模式填入，與「message」中的「WORD」相符。
`data.GREEDYDATA`	security_result.summary	由 grok 模式填入，與「message」中的「GREEDYDATA」相符。用於根據內容判斷 network.application_protocol 和 event_type。
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	由日期外掛程式根據各種時間戳記格式填入。
`data.MONTHNUM`		未對應
`data.MONTHDAY`		未對應
`data.YEAR`		未對應
`data.TIME`		未對應
`data.HOST`	principal.hostname	如果「message」欄位中的第二個 grok 模式相符，就會對應。
`data.INT`		未對應
`data.UserAgent`	network.http.user_agent	當 `description` 欄位包含 `User-Agent` 時，系統會對應此欄位。
`data.Connection`	security_result.description	當 `description` 欄位包含 `Connection` 時，系統會對應此欄位。
不適用	metadata.event_type	預設值為 `GENERIC_EVENT`。如果 `data.HOSTNAME` 成功對應至 principal.hostname，則變更為 `STATUS_UPDATE`；如果填入 `question`，則變更為 `NETWORK_DNS`；如果 `summary` 包含 `Browser login`，則變更為 `USER_LOGIN`。
不適用	metadata.vendor_name	已硬式編碼至 `HP`。
不適用	metadata.log_type	設為 `HPE_ILO`。
不適用	network.application_protocol	如果 `summary` 包含 `LDAP`，請設為 `LDAP`；如果填入 `question`，請設為 `DNS`。
不適用	extensions.auth.type	如果 `summary` 包含 `Browser login`，請設為 `MACHINE`。

異動

2023-11-27

修正錯誤：

如果記錄為 Browser Login 類型，請將 metadata.event_type 設為 USER_LOGIN。
如果 principal.hostname 存在，請將 metadata_event_type 設為 STATUS_UPDATE。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。