Audit-Logs des Broadcom-Supportportals erfassen
In diesem Dokument wird beschrieben, wie Sie Audit-Logs des Broadcom-Supportportals mit dem Bindplane-Agent in Google Security Operations aufnehmen.
Das Broadcom-Supportportal bietet zentralen Zugriff auf Supportressourcen, Fallmanagement und Produktdownloads für Broadcom-Unternehmensprodukte. Die Plattform generiert Audit-Logs, in denen Nutzerauthentifizierungsereignisse, Aktivitäten zur Ausführung von Jobs, Ressourcenzugriff und administrative Vorgänge in der gesamten Portalinfrastruktur erfasst werden.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Netzwerkverbindung zwischen dem Bindplane-Agent und der Infrastruktur des Broadcom-Supportportals
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Administratorzugriff auf das Broadcom-Supportportal mit Berechtigungen zum Konfigurieren der Syslog-Weiterleitung
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collector
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/broadcom: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: BROADCOM_SUPPORT_PORTAL raw_log_field: body service: pipelines: logs/broadcom_to_chronicle: receivers: - udplog exporters: - chronicle/broadcomErsetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
listen_address: IP-Adresse und Port, auf dem gelauscht werden soll:0.0.0.0:514, um alle Schnittstellen auf Port 514 zu überwachen (erfordert Root unter Linux)0.0.0.0:1514, um einen nicht privilegierten Port zu überwachen (empfohlen für Linux ohne Root-Zugriff)
Optionen für Empfängertyp:
udplogfür UDP-Syslog (Standard)tcplogfür TCP-Syslog
Exporter-Konfiguration:
creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Google SecOps-Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Ihrecustomer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.endpoint: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
Konfigurationsdatei speichern
Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
So starten Sie den Bindplane-Agent unter Linux neu:
Führen Sie dazu diesen Befehl aus:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
So starten Sie den Bindplane-Agent unter Windows neu:
Wählen Sie eine der folgenden Optionen aus:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
- Drücken Sie
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Syslog-Weiterleitung für das Broadcom-Supportportal konfigurieren
Das Broadcom-Supportportal kann Audit-Log-Ereignisse über Syslog an externe Collector zur SIEM-Integration weiterleiten.
Remote-Syslog-Logging konfigurieren
- Melden Sie sich in der Verwaltungskonsole des Broadcom Support Portal an.
- Klicken Sie auf Verwaltung > Logs > Remote Logging.
- Aktivieren Sie Remote-Syslog.
Konfigurieren Sie die folgenden Syslog-Parameter:
- Syslog-Serveradresse: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agent-Hosts ein (z. B.
192.168.1.100). - Port: Geben Sie den Port ein, der dem BindPlane-Agenten
listen_addressentspricht (z. B.514). - Protokoll: Wählen Sie UDP (Standard) oder TCP aus, um den Empfängertyp des Bindplane-Agents abzugleichen.
- Syslog-Serveradresse: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agent-Hosts ein (z. B.
Klicken Sie auf Speichern.
Auditereigniskategorien auswählen
Wählen Sie in der Konfiguration Remote-Logging die Kategorien für Audit-Ereignisse aus, die weitergeleitet werden sollen:
- Nutzerauthentifizierungsereignisse: An- und Abmeldeaktivitäten
- Job-Ereignisse: Status der Jobausführung und Statusänderungen
- Ressourcenzugriffsereignisse: Zugriff auf Supportressourcen und Downloads
- Verwaltungsereignisse: Konfigurationsänderungen und Verwaltungsvorgänge
Klicken Sie auf Speichern.
Syslog-Weiterleitung bestätigen
- Nachdem Sie die Syslog-Konfiguration gespeichert haben, führen Sie eine Testaktion im Broadcom-Supportportal aus, z. B. eine Anmeldung oder den Zugriff auf eine Ressource.
Prüfen Sie die BindPlane-Agentenlogs auf eingehende Syslog-Nachrichten:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
Prüfen Sie, ob Audit-Log-Nachrichten in den Logs angezeigt werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| ParallelDestination, STORAGE_TYPE, JOB_NAME, kubernetes.docker_id, kubernetes.pod_id | target.resource.attribute.labels | Mit entsprechenden Labels zusammengeführt |
| destinationName, responseDestinationName, DESTINATION_NAME | target.application | Wert aus DESTINATION_NAME, falls nicht leer, andernfalls responseDestinationName, falls nicht null oder leer, andernfalls destinationName |
| kubernetes.container_hash | target.file.full_path | Extrahierte Daten mit dem Grok-Muster %{DATA:filepath}:%{GREEDYDATA:file_sha} |
| kubernetes.container_hash | target.file.sha256 | Extrahierte Daten mit dem Grok-Muster %{DATA:filepath}:%{GREEDYDATA:file_sha} |
| groupId | target.user.group_identifiers | Zusammengeführt aus groupId |
| dispatch, companyId | additional.fields | Mit „dispatch_label“ und „companyId_label“ zusammengeführt |
| response, responseId | security_result.detection_fields | Mit „response_label“ und „responseId_label“ zusammengeführt |
| kubernetes.container_image, kubernetes.container_name, kubernetes.namespace_name, kubernetes.pod_name | principal.resource.attribute.labels | Mit entsprechenden Labels zusammengeführt |
| GROUP_NAME | principal.group.group_display_name | Wert direkt kopiert |
| kubernetes.host | principal.asset.hostname | Wert direkt kopiert |
| kubernetes.host | principal.hostname | Wert direkt kopiert |
| payload | principal.resource.product_object_id | Wert direkt kopiert |
| die Ausprägung | security_result.severity | In Großbuchstaben und festgelegt, ob in der Zulassungsliste |
| description, JOB_STATE | security_result.description | Wert aus der Beschreibung, falls nicht leer, andernfalls JOB_STATE |
| Zeitstempel | metadata.event_timestamp | Geprüft mit ISO8601, JJJJ-MM-TTTHH:mm:ss.SSSSSSSSSZ, JJJJ-MM-TT HH:mm:ss.SSS |
| metadata.event_type | Auf „USER_LOGIN“ gesetzt, wenn has_principal, has_target, user_login; „USER_LOGOUT“, wenn has_principal, has_target, user_logout; „STATUS_UPDATE“, wenn has_principal; andernfalls „GENERIC_EVENT“ | |
| extensions.auth.type | Auf „AUTHTYPE_UNSPECIFIED“ festlegen, wenn es sich um ein Nutzeran- oder ‑abmeldeereignis handelt. | |
| metadata.product_name | Auf „BROADCOM_SUPPORT_PORTAL“ festgelegt | |
| metadata.vendor_name | Auf „BROADCOM_SUPPORT_PORTAL“ festgelegt |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten