Mengumpulkan log Audit Broadcom Support Portal

Didukung di:

Dokumen ini menjelaskan cara menyerap log Audit Broadcom Support Portal ke Google Security Operations menggunakan agen Bindplane.

Portal Dukungan Broadcom menyediakan akses terpusat ke sumber daya dukungan, pengelolaan kasus, dan download produk untuk produk perusahaan Broadcom. Platform ini membuat log audit yang mencatat peristiwa autentikasi pengguna, aktivitas eksekusi tugas, akses resource, dan operasi administratif di seluruh infrastruktur portal.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan infrastruktur Broadcom Support Portal
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses administratif ke Broadcom Support Portal dengan izin untuk mengonfigurasi penerusan syslog

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.

  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

  • Penginstalan Windows

    1. Buka Command Prompt atau PowerShell sebagai administrator.

    2. Jalankan perintah berikut:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sc query observiq-otel-collector

      Layanan akan ditampilkan sebagai RUNNING.

  • Penginstalan Linux

    1. Buka terminal dengan hak istimewa root atau sudo.

    2. Jalankan perintah berikut:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sudo systemctl status observiq-otel-collector

    Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  1. Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/broadcom:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BROADCOM_SUPPORT_PORTAL
    raw_log_field: body

service:
  pipelines:
    logs/broadcom_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/broadcom

  2. Ganti placeholder berikut:

  • Konfigurasi penerima:

    • listen_address: Alamat IP dan port yang akan diproses:

      • 0.0.0.0:514 untuk memproses semua antarmuka di port 514 (memerlukan akses root di Linux)
      • 0.0.0.0:1514 untuk memproses port yang tidak memiliki hak istimewa (direkomendasikan untuk non-root Linux)

    • Opsi jenis penerima:

      • udplog untuk syslog UDP (default)
      • tcplog untuk syslog TCP

  • Konfigurasi pengekspor:

    • creds_file_path: Jalur lengkap ke file autentikasi penyerapan Google SecOps:

      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

    • customer_id: customer ID Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.

    • endpoint: URL endpoint regional:

      • Amerika Serikat: malachiteingestion-pa.googleapis.com
      • Eropa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux:

    1. Jalankan perintah berikut:

      sudo systemctl restart observiq-otel-collector

    2. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows:

    1. Pilih salah satu opsi berikut:

      • Command Prompt atau PowerShell sebagai administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Konsol layanan:

        1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
        2. Temukan observIQ OpenTelemetry Collector.
        3. Klik kanan, lalu pilih Mulai Ulang.

    2. Pastikan layanan sedang berjalan:

      sc query observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Broadcom Support Portal

Broadcom Support Portal dapat meneruskan peristiwa log audit melalui syslog ke pengumpul eksternal untuk integrasi SIEM.

Mengonfigurasi logging syslog jarak jauh

  1. Login ke konsol administrasi Broadcom Support Portal.
  2. Buka Administrasi > Log > Logging Jarak Jauh.
  3. Aktifkan Remote Syslog.

  4. Konfigurasi parameter syslog berikut:

    • Alamat Server Syslog: Masukkan alamat IP atau nama host dari host agen Bindplane (misalnya, 192.168.1.100).
    • Port: Masukkan port yang cocok dengan agen Bindplane listen_address (misalnya, 514).
    • Protocol: Pilih UDP (default) atau TCP agar sesuai dengan jenis penerima agen Bindplane.

  5. Klik Simpan.

Pilih kategori peristiwa audit

  1. Dalam konfigurasi Remote Logging, pilih kategori peristiwa audit yang akan diteruskan:

    • Peristiwa autentikasi pengguna: Aktivitas login dan logout
    • Peristiwa tugas: Status eksekusi tugas dan perubahan status
    • Peristiwa akses resource: Akses ke resource dan download dukungan
    • Peristiwa administratif: Perubahan konfigurasi dan operasi administratif

  2. Klik Simpan.

Memverifikasi penerusan syslog

  1. Setelah menyimpan konfigurasi syslog, lakukan tindakan pengujian di Broadcom Support Portal (misalnya, login atau akses resource).

  2. Periksa log agen Bindplane untuk pesan syslog masuk:

    • Linux: sudo journalctl -u observiq-otel-collector -f
    • Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Pastikan pesan log audit muncul di log.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
ParallelDestination, STORAGE_TYPE, JOB_NAME, kubernetes.docker_id, kubernetes.pod_id target.resource.attribute.labels Digabungkan dengan label yang sesuai
destinationName, responseDestinationName, DESTINATION_NAME target.application Nilai dari DESTINATION_NAME jika tidak kosong, atau responseDestinationName jika tidak null atau kosong, atau destinationName
kubernetes.container_hash target.file.full_path Diekstrak menggunakan pola grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
kubernetes.container_hash target.file.sha256 Diekstrak menggunakan pola grok %{DATA:filepath}:%{GREEDYDATA:file_sha}
groupId target.user.group_identifiers Digabungkan dari groupId
dispatch, companyId additional.fields Digabungkan dengan dispatch_label dan companyId_label
respons, responseId security_result.detection_fields Digabungkan dengan response_label dan responseId_label
kubernetes.container_image, kubernetes.container_name, kubernetes.namespace_name, kubernetes.pod_name principal.resource.attribute.labels Digabungkan dengan label yang sesuai
GROUP_NAME principal.group.group_display_name Nilai disalin secara langsung
kubernetes.host principal.asset.hostname Nilai disalin secara langsung
kubernetes.host principal.hostname Nilai disalin secara langsung
payload principal.resource.product_object_id Nilai disalin secara langsung
tingkat keseriusan, security_result.severity Huruf besar dan ditetapkan jika ada dalam daftar yang diizinkan
description, JOB_STATE security_result.description Nilai dari deskripsi jika tidak kosong, atau JOB_STATE
stempel waktu metadata.event_timestamp Diuraikan menggunakan format ISO8601, yyyy-MM-ddTHH:mm:ss.SSSSSSSSSZ, yyyy-MM-dd HH:mm:ss.SSS
metadata.event_type Ditetapkan ke "USER_LOGIN" jika has_principal, has_target, user_login; "USER_LOGOUT" jika has_principal, has_target, user_logout; "STATUS_UPDATE" jika has_principal; atau "GENERIC_EVENT"
extensions.auth.type Disetel ke "AUTHTYPE_UNSPECIFIED" jika peristiwa login atau logout pengguna
metadata.product_name Tetapkan ke "BROADCOM_SUPPORT_PORTAL"
metadata.vendor_name Tetapkan ke "BROADCOM_SUPPORT_PORTAL"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.