HPE iLO ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して HPE iLO(Hewlett Packard Enterprise Integrated Lights-Out)ログを Google Security Operations に取り込む方法について説明します。パーサー コードは、まず未加工のログ メッセージを JSON として解析しようとします。これが失敗した場合は、正規表現(grok パターン)を使用して、一般的な HP iLO ログ形式に基づいてメッセージからフィールドを抽出します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • HPE iLO への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。
  2. config.yaml ファイルを次のように編集します。

            receivers:
                udplog:
                    # Replace the port and IP address as required
                    listen_address: "0.0.0.0:514"
    
            exporters:
                chronicle/chronicle_w_labels:
                    compression: gzip
                    # Adjust the path to the credentials file you downloaded in Step 1
                    creds: '/path/to/ingestion-authentication-file.json'
                    # Replace with your actual customer ID from Step 2
                    customer_id: <customer_id>
                    endpoint: malachiteingestion-pa.googleapis.com
                    # Add optional ingestion labels for better organization
                    ingestion_labels:
                        log_type: HPE_ILO
                        raw_log_field: body
    
            service:
                pipelines:
                    logs/source0__chronicle_w_labels-0:
                        receivers:
                            - udplog
                        exporters:
                            - chronicle/chronicle_w_labels
    
  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent
    
  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent
    

HP iLO で Syslog を構成する

  1. HPE iLO の Web UI にログインします。
  2. [Management] > [Remote Syslog] タブに移動します。
  3. [iLO Remote Syslog] の [Enable] をクリックします。
  4. 次の構成情報を提供してください。
    • リモート Syslog ポート: Bindplane ポート番号を入力します(例: 514)。
    • リモート Syslog サーバー: Bindplane の IP アドレスを入力します。
  5. [Send Test Syslog] をクリックし、Google SecOps で受信されたことを確認します。
  6. [適用] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
data このフィールドは解析され、その内容に基づいてさまざまな UDM フィールドにマッピングされます。
data.HOSTNAME principal.hostname 「message」フィールドの最初の grok パターンが一致する場合、または「description」フィールドに「Host」が含まれている場合にマッピングされます。event_type が STATUS_UPDATE かどうかを判断します。
data.HOSTNAME network.dns.questions.name 「message」の「DATA」に一致する grok パターンによって入力されます。空ではなく、「(?i)not found」が含まれていない場合に、dns.questions に入力するために使用されます。
data.HOSTNAME target.user.user_display_name 「message」の「DATA」に一致する grok パターンによって入力されます。
data.IP target.ip 「message」または「summary」の「IP」に一致する grok パターンによって入力されます。
data.WORD metadata.product_event_type 「message」の「WORD」に一致する grok パターンによって入力されます。
data.GREEDYDATA security_result.summary 「message」内の「GREEDYDATA」に一致する Grok パターンによって入力されます。コンテンツに基づいて network.application_protocol と event_type を特定するために使用されます。
data.TIMESTAMP_ISO8601 metadata.event_timestamp さまざまなタイムスタンプ形式に基づいて日付プラグインによって入力されます。
data.MONTHNUM マッピングされません
data.MONTHDAY マッピングされません
data.YEAR マッピングされません
data.TIME マッピングされません
data.HOST principal.hostname 「message」フィールドの 2 番目の grok パターンが一致するとマッピングされます。
data.INT マッピングされません
data.UserAgent network.http.user_agent description フィールドに User-Agent が含まれている場合にマッピングされます。
data.Connection security_result.description description フィールドに Connection が含まれている場合にマッピングされます。
なし metadata.event_type デフォルトは GENERIC_EVENT です。data.HOSTNAME が principal.hostname に正常にマッピングされた場合は STATUS_UPDATEquestion が入力されている場合は NETWORK_DNSsummaryBrowser login が含まれている場合は USER_LOGIN に変更されます。
なし metadata.vendor_name HP にハードコードされています。
なし metadata.log_type HPE_ILO に設定します。
なし network.application_protocol summaryLDAP が含まれている場合は LDAP に設定し、question が入力されている場合は DNS に設定します。
なし extensions.auth.type summaryBrowser login が含まれている場合は、MACHINE に設定します。

変更点

2023-11-27

バグの修正:

  • ログが Browser Login 型の場合は、metadata.event_typeUSER_LOGIN に設定します。
  • principal.hostname が存在する場合は、metadata_event_typeSTATUS_UPDATE に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。