Coletar registros do sistema AIX

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do sistema AIX no Google Security Operations usando o Bindplane. O analisador extrai campos dos registros usando padrões grok, processando vários formatos de registro. Em seguida, ele mapeia os campos extraídos para a UDM, convertendo tipos de dados e definindo tipos de eventos com base na presença de campos específicos, como IP de origem, nome do host e usuário.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows 2012 SP2 ou posterior ou um host Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado ao host do sistema AIX
Conectividade de rede entre hosts AIX e o agente Bindplane na porta UDP 514

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o encaminhamento de Syslog no sistema AIX

Faça login no host do sistema AIX com acesso privilegiado.
Edite o arquivo /etc/syslog.conf usando um editor de texto, como vi ou nano.
Adicione a seguinte linha para encaminhar os registros ao agente do Bindplane:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Substitua <BINDPLANE_AGENT_IP> pelo endereço IP do agente do Bindplane.
- Use uma ou mais tabulações ou espaços como separador entre o seletor (*.info) e a ação (@<BINDPLANE_AGENT_IP>).
- O seletor *.info encaminha todos os registros com prioridade info ou superior. Ajuste a unidade e a prioridade conforme necessário, de acordo com seus requisitos.
Salve o arquivo de configuração.
Atualize o daemon syslogd para aplicar as mudanças:
```
refresh -s syslogd
```
- Se o comando refresh não funcionar, reinicie o daemon usando comandos SRC:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Verifique se o daemon syslogd está em execução:
```
lssrc -s syslogd
```
Verifique se a porta UDP 514 é permitida entre o host AIX e o agente do Bindplane.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`application`	`target.application`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`cmddata`	`target.process.command_line`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`command_line`	`principal.process.command_line`	O valor é extraído do campo `description` usando padrões grok e atribuído diretamente.
`description`	`metadata.description`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`folder`	`target.process.file.full_path`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`hostname`	`principal.hostname`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente. O carimbo de data/hora é extraído do campo `ts` na mensagem de registro usando grok e o filtro `date`. Determinado pela lógica do analisador com base na presença de determinados campos. Se `src_ip` ou `hostname` estiverem presentes, será `STATUS_UPDATE`. Se `user` estiver presente, mas não os outros, será `USER_UNCATEGORIZED`. Caso contrário, será `GENERIC_EVENT`. Fixado no código como "AIX_SYSTEM". Fixado no código como "AIX_SYSTEM". Fixado no código como "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`sc_summary`	`security_result.summary`	O valor é extraído do campo `description` usando padrões grok e atribuído diretamente.
`severity`	`security_result.severity`	O valor é derivado do campo `severity`. Se `severity` for "info" (sem distinção entre maiúsculas e minúsculas), o valor da UDM será "INFORMATIONAL". Se `severity` for "Err" (sem diferenciar maiúsculas e minúsculas), o valor da UDM será "ERROR".
`src_ip`	`principal.ip`	O valor é extraído do campo `message` ou `description` usando padrões grok e atribuído diretamente.
`src_port`	`principal.port`	O valor é extraído do campo `description` usando padrões grok e atribuído diretamente.
`sys_log_host`	`intermediary.hostname`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`syslog_priority`	`security_result.priority_details`	O valor é extraído do campo `message` usando padrões grok e atribuído diretamente.
`ts`	`timestamp`	O carimbo de data/hora é extraído do campo `ts` na mensagem de registro usando grok e o filtro `date`.
`user`	`principal.user.userid`	O valor é extraído do campo `message` ou `description` usando padrões grok e atribuído diretamente.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.