Raccogliere i log di HPE iLO

Supportato in:

Questo documento spiega come importare i log HPE iLO (Hewlett Packard Enterprise Integrated Lights-Out) in Google Security Operations utilizzando Bindplane. Il codice dell'analizzatore tenta innanzitutto di analizzare il messaggio di log non elaborato come JSON. In caso di esito negativo, utilizza espressioni regolari (pattern grok) per estrarre i campi dal messaggio in base ai formati di log HP iLO comuni.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive o host Linux con systemd
  • Se il servizio viene eseguito dietro un proxy, le porte del firewall sono aperte
  • Accesso privilegiato a HPE iLO

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

            receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando: 

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog in HP iLO

  1. Accedi all'interfaccia utente web di HPE iLO.
  2. Vai alla scheda Gestione > Syslog remoto.
  3. Fai clic su Attiva Syslog remoto iLO.
  4. Fornisci i seguenti dettagli di configurazione:
    • Porta syslog remota: inserisci il numero di porta di Bindplane (ad esempio 514).
    • Server syslog remoto: inserisci l'indirizzo IP di Bindplane.
  5. Fai clic su Invia Syslog di test e verifica che sia stato ricevuto in Google SecOps.
  6. Fai clic su Applica.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
data Questo campo viene analizzato e mappato a vari campi UDM in base ai relativi contenuti.
data.HOSTNAME principal.hostname Viene mappato quando il primo pattern Grok nel campo "message" corrisponde o quando il campo "description" contiene "Host". Determina se event_type è STATUS_UPDATE.
data.HOSTNAME network.dns.questions.name Completato dal pattern Grok corrispondente a "DATA" in "message". Utilizzato per compilare dns.questions se non è vuoto e non contiene "(?i)not found".
data.HOSTNAME target.user.user_display_name Completato dal pattern Grok corrispondente a "DATA" in "message".
data.IP target.ip Completato dai pattern Grok corrispondenti a "IP" in "message" o "summary".
data.WORD metadata.product_event_type Completato dal pattern Grok corrispondente a "PAROLA" in "messaggio".
data.GREEDYDATA security_result.summary Compilato in base alla corrispondenza del pattern Grok "GREEDYDATA" in "message". Utilizzato per determinare network.application_protocol ed event_type in base ai relativi contenuti.
data.TIMESTAMP_ISO8601 metadata.event_timestamp Compilato dal plug-in della data in base a vari formati di timestamp.
data.MONTHNUM Non mappato
data.MONTHDAY Non mappato
data.YEAR Non mappato
data.TIME Non mappato
data.HOST principal.hostname Viene mappato quando il secondo pattern Grok nel campo "message" corrisponde.
data.INT Non mappato
data.UserAgent network.http.user_agent Mappato quando il campo description contiene User-Agent.
data.Connection security_result.description Mappato quando il campo description contiene Connection.
N/D metadata.event_type Il valore predefinito è GENERIC_EVENT. Modifiche a STATUS_UPDATE se data.HOSTNAME viene mappato correttamente a principal.hostname, NETWORK_DNS se question è compilato o USER_LOGIN se summary contiene Browser login.
N/D metadata.vendor_name Hardcoded a HP.
N/D metadata.log_type Imposta su HPE_ILO.
N/D network.application_protocol Imposta LDAP se summary contiene LDAP o DNS se question è compilato.
N/D extensions.auth.type Imposta MACHINE se summary contiene Browser login.

Modifiche

2023-11-27

Correzione di bug:

  • Imposta metadata.event_type su USER_LOGIN se i log sono di tipo Browser Login.
  • Imposta metadata_event_type su STATUS_UPDATE se è presente principal.hostname.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.