HPE iLO ログを収集する
このドキュメントでは、Bindplane を使用して HPE iLO(Hewlett Packard Enterprise Integrated Lights-Out)ログを Google Security Operations に取り込む方法について説明します。パーサー コードは、まず未加工のログ メッセージを JSON として解析しようとします。これが失敗した場合は、正規表現(grok
パターン)を使用して、一般的な HP iLO ログ形式に基づいてメッセージからフィールドを抽出します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Windows 2016 以降、または systemd を使用する Linux ホスト
- プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- HPE iLO への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HPE_ILO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>
は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
HP iLO で Syslog を構成する
- HPE iLO の Web UI にログインします。
- [Management] > [Remote Syslog] タブに移動します。
- [iLO Remote Syslog] の [Enable] をクリックします。
- 次の構成情報を提供してください。
- リモート Syslog ポート: Bindplane ポート番号を入力します(例:
514
)。 - リモート Syslog サーバー: Bindplane の IP アドレスを入力します。
- リモート Syslog ポート: Bindplane ポート番号を入力します(例:
- [Send Test Syslog] をクリックし、Google SecOps で受信されたことを確認します。
- [適用] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
data |
このフィールドは解析され、その内容に基づいてさまざまな UDM フィールドにマッピングされます。 | |
data.HOSTNAME |
principal.hostname | 「message」フィールドの最初の grok パターンが一致する場合、または「description」フィールドに「Host」が含まれている場合にマッピングされます。event_type が STATUS_UPDATE かどうかを判断します。 |
data.HOSTNAME |
network.dns.questions.name | 「message」の「DATA」に一致する grok パターンによって入力されます。空ではなく、「(?i)not found」が含まれていない場合に、dns.questions に入力するために使用されます。 |
data.HOSTNAME |
target.user.user_display_name | 「message」の「DATA」に一致する grok パターンによって入力されます。 |
data.IP |
target.ip | 「message」または「summary」の「IP」に一致する grok パターンによって入力されます。 |
data.WORD |
metadata.product_event_type | 「message」の「WORD」に一致する grok パターンによって入力されます。 |
data.GREEDYDATA |
security_result.summary | 「message」内の「GREEDYDATA」に一致する Grok パターンによって入力されます。コンテンツに基づいて network.application_protocol と event_type を特定するために使用されます。 |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | さまざまなタイムスタンプ形式に基づいて日付プラグインによって入力されます。 |
data.MONTHNUM |
マッピングされません | |
data.MONTHDAY |
マッピングされません | |
data.YEAR |
マッピングされません | |
data.TIME |
マッピングされません | |
data.HOST |
principal.hostname | 「message」フィールドの 2 番目の grok パターンが一致するとマッピングされます。 |
data.INT |
マッピングされません | |
data.UserAgent |
network.http.user_agent | description フィールドに User-Agent が含まれている場合にマッピングされます。 |
data.Connection |
security_result.description | description フィールドに Connection が含まれている場合にマッピングされます。 |
なし | metadata.event_type | デフォルトは GENERIC_EVENT です。data.HOSTNAME が principal.hostname に正常にマッピングされた場合は STATUS_UPDATE 、question が入力されている場合は NETWORK_DNS 、summary に Browser login が含まれている場合は USER_LOGIN に変更されます。 |
なし | metadata.vendor_name | HP にハードコードされています。 |
なし | metadata.log_type | HPE_ILO に設定します。 |
なし | network.application_protocol | summary に LDAP が含まれている場合は LDAP に設定し、question が入力されている場合は DNS に設定します。 |
なし | extensions.auth.type | summary に Browser login が含まれている場合は、MACHINE に設定します。 |
変更点
2023-11-27
バグの修正:
- ログが
Browser Login
型の場合は、metadata.event_type
をUSER_LOGIN
に設定します。 principal.hostname
が存在する場合は、metadata_event_type
をSTATUS_UPDATE
に設定します。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。