Collecter les journaux système AIX

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux système AIX dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux à l'aide de modèles Grok, en gérant différents formats de journaux. Il mappe ensuite les champs extraits à l'UDM, en convertissant les types de données et en définissant les types d'événements en fonction de la présence de champs spécifiques tels que l'adresse IP source, le nom d'hôte et l'utilisateur.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows 2012 SP2 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'hôte du système AIX
Connectivité réseau entre les hôtes AIX et l'agent Bindplane sur le port UDP 514

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <CUSTOMER_ID> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le transfert Syslog sur un système AIX

Connectez-vous à l'hôte du système AIX avec un accès privilégié.
Modifiez le fichier /etc/syslog.conf à l'aide d'un éditeur de texte (par exemple, vi ou nano).
Ajoutez la ligne suivante pour transférer les journaux à l'agent Bindplane :
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'agent Bindplane.
- Utilisez une ou plusieurs tabulations ou espaces comme séparateur entre le sélecteur (*.info) et l'action (@<BINDPLANE_AGENT_IP>).
- Le sélecteur *.info transmet tous les journaux dont la priorité est info ou supérieure. Ajustez l'établissement et la priorité selon vos besoins.
Enregistrez le fichier de configuration.
Actualisez le daemon syslogd pour appliquer les modifications :
```
refresh -s syslogd
```
- Si la commande refresh ne fonctionne pas, redémarrez le daemon à l'aide des commandes SRC :
```
stopsrc -s syslogd
startsrc -s syslogd
```
Vérifiez que le daemon syslogd est en cours d'exécution :
```
lssrc -s syslogd
```
Assurez-vous que le port UDP 514 est autorisé entre l'hôte AIX et l'agent Bindplane.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`application`	`target.application`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`cmddata`	`target.process.command_line`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`command_line`	`principal.process.command_line`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`description`	`metadata.description`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`folder`	`target.process.file.full_path`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`hostname`	`principal.hostname`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement. L'horodatage est extrait du champ `ts` du message de journal à l'aide de grok et du filtre `date`. Déterminé par la logique de l'analyseur en fonction de la présence de certains champs. Si `src_ip` ou `hostname` sont présents, la valeur est `STATUS_UPDATE`. Si `user` est présent, mais pas les autres, la valeur est `USER_UNCATEGORIZED`. Sinon, la valeur est `GENERIC_EVENT`. Codé en dur sur "AIX_SYSTEM". Codé en dur sur "AIX_SYSTEM". Codé en dur sur "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`sc_summary`	`security_result.summary`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`severity`	`security_result.severity`	La valeur est dérivée du champ `severity`. Si `severity` est défini sur "info" (sans tenir compte de la casse), la valeur UDM est "INFORMATIONAL". Si `severity` est "Err" (non sensible à la casse), la valeur UDM est "ERROR".
`src_ip`	`principal.ip`	La valeur est extraite des champs `message` ou `description` à l'aide de modèles Grok et est attribuée directement.
`src_port`	`principal.port`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`sys_log_host`	`intermediary.hostname`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`syslog_priority`	`security_result.priority_details`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`ts`	`timestamp`	L'horodatage est extrait du champ `ts` du message de journal à l'aide de grok et du filtre `date`.
`user`	`principal.user.userid`	La valeur est extraite des champs `message` ou `description` à l'aide de modèles Grok et est attribuée directement.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.