Recolha registos do sistema AIX

Suportado em:

Google secops SIEM

Este documento explica como carregar registos do sistema AIX para o Google Security Operations através do Bindplane. O analisador extrai campos dos registos através de padrões grok, processando vários formatos de registos. Em seguida, mapeia os campos extraídos para o UDM, convertendo os tipos de dados e definindo os tipos de eventos com base na presença de campos específicos, como o IP de origem, o nome do anfitrião e o utilizador.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Windows 2012 SP2 ou posterior, ou um anfitrião Linux com systemd
Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado ao anfitrião do sistema AIX
Conetividade de rede entre os anfitriões do AIX e o agente do Bindplane na porta UDP 514

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog no sistema AIX

Inicie sessão no anfitrião do sistema AIX com acesso privilegiado.
Edite o ficheiro /etc/syslog.conf com um editor de texto (por exemplo, vi ou nano).
Adicione a seguinte linha para encaminhar os registos para o agente do Bindplane:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Substitua <BINDPLANE_AGENT_IP> pelo endereço IP do agente do Bindplane.
- Use um ou mais separadores ou espaços como separador entre o seletor (*.info) e a ação (@<BINDPLANE_AGENT_IP>).
- O seletor *.info encaminha todos os registos com prioridade info ou superior. Ajuste a facilidade e a prioridade conforme necessário de acordo com os seus requisitos.
Guarde o ficheiro de configuração.
Atualize o daemon syslogd para aplicar as alterações:
```
refresh -s syslogd
```
- Se o comando refresh não funcionar, reinicie o daemon através dos comandos SRC:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Verifique se o daemon syslogd está em execução:
```
lssrc -s syslogd
```
Certifique-se de que a porta UDP 514 é permitida entre o anfitrião AIX e o agente Bindplane.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
`application`	`target.application`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`cmddata`	`target.process.command_line`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`command_line`	`principal.process.command_line`	O valor é extraído do campo `description` através de padrões grok e atribuído diretamente.
`description`	`metadata.description`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`folder`	`target.process.file.full_path`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`hostname`	`principal.hostname`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente. A indicação de tempo é extraída do campo `ts` na mensagem de registo através do grok e do filtro `date`. Determinado pela lógica do analisador com base na presença de determinados campos. Se `src_ip` ou `hostname` estiverem presentes, é `STATUS_UPDATE`. Se `user` estiver presente, mas não os outros, é `USER_UNCATEGORIZED`. Caso contrário, é `GENERIC_EVENT`. Codificado de forma rígida para "AIX_SYSTEM". Codificado de forma rígida para "AIX_SYSTEM". Codificado de forma rígida para "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`sc_summary`	`security_result.summary`	O valor é extraído do campo `description` através de padrões grok e atribuído diretamente.
`severity`	`security_result.severity`	O valor é derivado do campo `severity`. Se `severity` for "info" (sem distinção entre maiúsculas e minúsculas), o valor UDM é "INFORMATIONAL". Se `severity` for "Err" (sem distinção entre maiúsculas e minúsculas), o valor do UDM é "ERROR".
`src_ip`	`principal.ip`	O valor é extraído do campo `message` ou `description` através de padrões grok e atribuído diretamente.
`src_port`	`principal.port`	O valor é extraído do campo `description` através de padrões grok e atribuído diretamente.
`sys_log_host`	`intermediary.hostname`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`syslog_priority`	`security_result.priority_details`	O valor é extraído do campo `message` através de padrões grok e atribuído diretamente.
`ts`	`timestamp`	A indicação de tempo é extraída do campo `ts` na mensagem de registo através do grok e do filtro `date`.
`user`	`principal.user.userid`	O valor é extraído do campo `message` ou `description` através de padrões grok e atribuído diretamente.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.