Raccogliere i log di AIDE (Advanced Intrusion Detection Environment)
Questo documento spiega come importare i log di AIDE (Advanced Intrusion Detection Environment) in Google Security Operations utilizzando Bindplane. AIDE è uno strumento di monitoraggio dell'integrità dei file che rileva le modifiche ai file sui sistemi Linux/Unix.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Un host Linux con systemd che esegue AIDE versione 0.18 o successive (per il supporto del formato JSON)
- Se l'esecuzione avviene dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi ai file di configurazione di AIDE
Recuperare il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione di importazione.
- Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.
Installare l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Linux seguendo le istruzioni riportate di seguito.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse di installazione aggiuntive
Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml. In genere si trova nella directory/etc/bindplane-agent/su Linux. - Apri il file utilizzando un editor di testo (ad esempio
nanoovi).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'AIDE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
- Sostituisci
<CUSTOMER_ID>con l'ID cliente effettivo. - Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso del file in cui è stato salvato il file di autenticazione nel passaggio 1.
Riavviare l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collector
Configurare l'inoltro di Syslog su AIDE
Apri il file di configurazione di AIDE:
sudo vi /etc/aide/aide.confVai alla sezione dei report.
Aggiungi la seguente configurazione:
- report_level: inserisci
list_entries. - report_format: inserisci
json(per AIDE 0.18+) oplain. - report_url: inserisci
syslog:authpriv.
Esempio di configurazione:
```ini report_level=list_entries report_format=json report_url=syslog:authpriv ```- report_level: inserisci
Salva la configurazione.
Configura rsyslog per inoltrare i log di AIDE all'agente Bindplane. Apri la configurazione di rsyslog:
sudo vi /etc/rsyslog.d/aide-forward.confAggiungi la seguente configurazione per inoltrare i log della struttura
authprivall'agente Bindplane:authpriv.* @<BINDPLANE_AGENT_IP>:514- Sostituisci
<BINDPLANE_AGENT_IP>con l'indirizzo IP dell'host dell'agente Bindplane. - Utilizza
@per l'inoltro UDP o@@per l'inoltro TCP.
- Sostituisci
Riavvia rsyslog:
sudo systemctl restart rsyslogInizializza il database AIDE se si tratta di una nuova installazione:
sudo aide --init sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.dbTesta la configurazione:
sudo aide --checkConfigura i controlli automatici utilizzando cron:
sudo crontab -eAggiungi la seguente riga per eseguire AIDE ogni giorno alle 04:05:
05 4 * * * root /usr/sbin/aide --check
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Funzione logica |
|---|---|---|
added_label |
principal.asset.attribute.labels |
Unita |
changed_label |
principal.asset.attribute.labels |
Unita |
old_acl_label |
principal.asset.attribute.labels |
Unita |
old_md5_label |
principal.asset.attribute.labels |
Unita |
old_perms_label |
principal.asset.attribute.labels |
Unita |
old_sha256_label |
principal.asset.attribute.labels |
Unita |
old_ts_label |
principal.asset.attribute.labels |
Unita |
removed_label |
principal.asset.attribute.labels |
Unita |
total_label |
principal.asset.attribute.labels |
Unita |
file_path |
principal.file.full_path |
Mappato direttamente |
path |
principal.file.full_path |
Mappato direttamente |
old_size |
principal.file.size |
Mappato direttamente |
host |
principal.hostname |
Mappato direttamente |
sr |
security_result |
Unita |
new_acl_label |
target.asset.attribute.labels |
Unita |
new_md5_label |
target.asset.attribute.labels |
Unita |
new_perms_label |
target.asset.attribute.labels |
Unita |
new_sha256_label |
target.asset.attribute.labels |
Unita |
new_ts_label |
target.asset.attribute.labels |
Unita |
path |
target.file.full_path |
Mappato direttamente |
new_size |
target.file.size |
Mappato direttamente |
| N/D | metadata.event_type |
Costante: GENERIC_EVENT |
| N/D | metadata.product_name |
Costante: AIDE |
| N/D | metadata.vendor_name |
Costante: AIDE |
| N/D | principal.application |
Costante: aide |
| N/D | principal.file.size |
Costante: sizedata |
| N/D | target.file.size |
Costante: sizedata_target |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.