收集 Broadcom 支持门户审核日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Broadcom 支持门户网站审核日志注入到 Google Security Operations。
Broadcom 支持门户网站集中提供对 Broadcom 企业产品的支持资源、支持请求管理和产品下载的访问权限。该平台会生成审核日志,以捕获门户基础设施中的用户身份验证事件、作业执行活动、资源访问和管理操作。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Broadcom 支持门户基础架构之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Broadcom 支持门户拥有管理员访问权限,并有权配置 syslog 转发
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/broadcom: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: BROADCOM_SUPPORT_PORTAL raw_log_field: body service: pipelines: logs/broadcom_to_chronicle: receivers: - udplog exporters: - chronicle/broadcom替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0:514在端口 514 上监听所有接口(在 Linux 上需要 root 权限)0.0.0.0:1514监听非特权端口(建议用于 Linux 非 root 用户)
接收器类型选项:
udplog(默认)用于 UDP syslogtcplog(适用于 TCP syslog)
导出器配置:
creds_file_path:Google SecOps 注入身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:您的customer ID。如需了解详情,请参阅获取 Google SecOps 客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请执行以下操作:
运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请执行以下操作:
请从下列选项中选择一项:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
- 按
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 Broadcom 支持门户网站 syslog 转发
Broadcom 支持门户可以通过 syslog 将审核日志事件转发到外部收集器,以实现 SIEM 集成。
配置远程 syslog 日志记录
- 登录 Broadcom 支持门户管理控制台。
- 依次前往管理 > 日志 > 远程日志记录。
- 启用远程 Syslog。
配置以下 syslog 参数:
- Syslog 服务器地址:输入 Bindplane 代理主机(例如
192.168.1.100)的 IP 地址或主机名。 - 端口:输入与 Bindplane 代理
listen_address匹配的端口(例如514)。 - 协议:选择 UDP(默认)或 TCP,以与 Bindplane 代理接收器类型相匹配。
- Syslog 服务器地址:输入 Bindplane 代理主机(例如
点击保存。
选择审核事件类别
在远程日志记录配置中,选择要转发的审核事件类别:
- 用户身份验证事件:登录和退出活动
- 作业事件:作业执行状态和状态变化
- 资源访问事件:访问支持资源和下载内容
- 管理事件:配置更改和管理操作
点击保存。
验证 Syslog 转发
- 保存 syslog 配置后,在 Broadcom 支持门户中执行测试操作(例如登录或访问资源)。
检查 Bindplane 代理日志中是否有传入的 syslog 消息:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
验证审核日志消息是否显示在日志中。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| ParallelDestination、STORAGE_TYPE、JOB_NAME、kubernetes.docker_id、kubernetes.pod_id | target.resource.attribute.labels | 与相应标签合并 |
| destinationName、responseDestinationName、DESTINATION_NAME | target.application | 如果 DESTINATION_NAME 不为空,则为 DESTINATION_NAME 中的值;否则,如果 responseDestinationName 不为 null 或空,则为 responseDestinationName;否则,为 destinationName |
| kubernetes.container_hash | target.file.full_path | 使用 grok 模式 %{DATA:filepath}:%{GREEDYDATA:file_sha} 提取 |
| kubernetes.container_hash | target.file.sha256 | 使用 grok 模式 %{DATA:filepath}:%{GREEDYDATA:file_sha} 提取 |
| groupId | target.user.group_identifiers | 从 groupId 合并 |
| 调度,companyId | additional.fields | 已与 dispatch_label 和 companyId_label 合并 |
| response, responseId | security_result.detection_fields | 与 response_label 和 responseId_label 合并 |
| kubernetes.container_image、kubernetes.container_name、kubernetes.namespace_name、kubernetes.pod_name | principal.resource.attribute.labels | 与相应标签合并 |
| GROUP_NAME | principal.group.group_display_name | 直接复制值 |
| kubernetes.host | principal.asset.hostname | 直接复制值 |
| kubernetes.host | principal.hostname | 直接复制值 |
| payload | principal.resource.product_object_id | 直接复制值 |
| 和程度上减少 | security_result.severity | 大写并设置是否在允许列表中 |
| 说明、JOB_STATE | security_result.description | 如果说明不为空,则为说明中的值;否则为 JOB_STATE |
| timestramp | metadata.event_timestamp | 使用 ISO8601、yyyy-MM-ddTHH:mm:ss.SSSSSSSSSZ、yyyy-MM-dd HH:mm:ss.SSS 格式进行解析 |
| metadata.event_type | 如果具有正文、具有目标、用户登录,则设置为“USER_LOGIN”;如果具有正文、具有目标、用户注销,则设置为“USER_LOGOUT”;如果具有正文,则设置为“STATUS_UPDATE”;否则设置为“GENERIC_EVENT” | |
| extensions.auth.type | 如果用户登录或退出事件 | |
| metadata.product_name | 设置为“BROADCOM_SUPPORT_PORTAL” | |
| metadata.vendor_name | 设置为“BROADCOM_SUPPORT_PORTAL” |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。