BlueCat Edge DNS Resolver のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して BlueCat Edge DNS Resolver のログを Google Security Operations に取り込む方法について説明します。
BlueCat Edge DNS Resolver は、DNS クエリ、レスポンス、脅威検出イベントのログを生成する DNS セキュリティおよび管理ソリューションです。パーサーは、JSON ログ形式と非 JSON ログ形式の両方を処理し、フィールドを正規化して統合データモデル(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと BlueCat BDDS サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
- BlueCat BDDS ウェブ UI への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- 取り込み認証ファイル をダウンロードします。
Bindplane エージェントをインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスは active (running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/bluecat_edge: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BLUECAT_EDGE raw_log_field: body service: pipelines: logs/bluecat_edge_to_chronicle: receivers: - udplog exporters: - chronicle/bluecat_edge
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする場合は
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux では root が必要です。root 以外の場合は1514を使用してください)。
- すべてのインターフェースでリッスンする場合は
エクスポーターの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [ファイル] > [保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rを押してservices.mscと入力し、Enter キーを押します。- [observIQ OpenTelemetry Collector] を探します。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
BlueCat Edge DNS Resolver で syslog を構成する
- BDDS ウェブ UI にログインします。
- [構成] > [サーバー] タブ に移動します。
- BDDS の名前 を選択して、サーバーの [詳細] タブを開きます。
- [サーバー名] メニュー > [サービス構成] をクリックします。
- [サービスタイプ] > [Syslog] をクリックします。
- 次の構成情報を提供してください。
- [ISO 8601 タイムスタンプ] チェックボックスをオンにすると、ローカルに記録されたメッセージに ISO 8601 タイムスタンプ形式を使用できます。
- サーバー: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します。
- [レベル]: [情報] を選択します。
- [RFC 5424 Syslog プロトコルを使用する] チェックボックスをオンにすると、syslog メッセージに RFC 5424 syslog プロトコルを使用できます。
- [ISO 8601 タイムスタンプ] チェックボックスをオンにすると、リモート syslog サーバーにリダイレクトされた syslog メッセージに ISO 8601 タイムスタンプ形式を使用できます。
- [サービスタイプ] で、[DNS]、[DHCP]、[その他すべてのサービス] を選択します。
- 転送: [UDP] を選択します。
- [追加] をクリックします。
- [更新] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| answer.domainName | network.dns.answers.name | DNS レスポンスの answer セクションのドメイン名。末尾の . は削除されます。 |
| answer.recordTypeId | network.dns.answers.type | DNS レスポンスの answer セクションのレコードタイプ ID。符号なし整数に変換されます。 |
| answer.ttl | network.dns.answers.ttl | DNS レスポンスの answer セクションの有効期間(TTL)値。符号なし整数に変換されます。 |
| customerId | target.user.userid | ログのお客様 ID。DNS リクエストを開始したユーザーを表します。 |
| domain.domainName | network.dns.authority.data | DNS レスポンスの authority セクションまたは additional セクションのドメイン名。末尾の . は削除されます。 |
| hostname | principal.hostname | ログが JSON 形式でない場合にのみ、未加工ログの Host ヘッダーから抽出されたホスト名。 |
| method | network.http.method | ログが JSON 形式でない場合にのみ、未加工ログから抽出された HTTP メソッド。 |
| parentDomain | principal.administrative_domain | クエリ対象の DNS 名の親ドメイン。末尾の . は削除されます。 |
| port | principal.port | ログが JSON 形式でない場合にのみ、未加工ログの Host ヘッダーから抽出されたポート番号。整数に変換されます。 |
| question.domainName | network.dns.questions.name | DNS リクエストの question セクションのドメイン名。末尾の . は削除されます。 |
| question.questionTypeId | network.dns.questions.type | DNS リクエストの question セクションの質問タイプ ID。符号なし整数に変換されます。 |
| responseData.header.aa | network.dns.authoritative | DNS レスポンスが権威があるかどうか。responseData セクションから抽出されます。 |
| responseData.header.id | network.dns.id | DNS メッセージ ID。responseData セクションから抽出され、符号なし整数に変換されます。 |
| responseData.header.opcode | network.dns.opcode | DNS メッセージ オペコード。responseData セクションから抽出され、符号なし整数に変換されます。 |
| responseData.header.ra | network.dns.recursion_available | 再帰が使用可能かどうか。responseData セクションから抽出されます。 |
| responseData.header.rcode | network.dns.response_code | DNS レスポンス コード。responseData セクションから抽出され、符号なし整数に変換されます。 |
| responseData.header.rd | network.dns.recursion_desired | 再帰が選択されているかどうか。responseData セクションから抽出されます。 |
| responseData.header.tc | network.dns.truncated | DNS メッセージが切り捨てられているかどうか。responseData セクションから抽出されます。 |
| servicePointId | additional.fields.value.string_value | ログのサービス ポイント ID。 |
| siteId | additional.fields.value.string_value | ログのサイト ID。 |
| socketProtocol | network.ip_protocol | DNS リクエストに使用されるネットワーク プロトコル(TCP または UDP)。 |
| sourceAddress | principal.ip | DNS クライアントの IP アドレス。 |
| sourcePort | principal.port | DNS クライアントのポート番号。整数に変換されます。 |
| threat.indicators | security_result.category_details | 検出された脅威に関連付けられたインジケーター。 |
| threat.type | security_result.threat_name | 検出された脅威のタイプ。 |
| 時間 | metadata.event_timestamp.seconds | DNS イベントのタイムスタンプ。time フィールドから抽出され、ミリ秒から秒に変換されます。 |
| ユーザー エージェント | network.http.user_agent | ログが JSON 形式でない場合にのみ、未加工ログから抽出されたユーザー エージェント文字列。 |
| additional.fields.key | 未加工ログの内容に応じて、servicePointId、siteId、Content-Type、Content-Length のいずれか。 |
|
| metadata.event_type | イベントタイプ。DNS クエリが存在する場合は NETWORK_DNS に設定され、それ以外の場合は GENERIC_EVENT に設定されます。 |
|
| metadata.log_type | ログタイプ。常に BLUECAT_EDGE に設定されます。 |
|
| network.application_protocol | アプリケーション プロトコル。DNS クエリが存在する場合は DNS に設定され、HTTP メソッドが抽出された場合は HTTP に設定されます。それ以外の場合は空のままになります。 |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。