Raccogliere gli audit log del portale di assistenza Broadcom
Questo documento spiega come importare i log di controllo del portale di assistenza Broadcom in Google Security Operations utilizzando l'agente Bindplane.
Il portale di assistenza Broadcom fornisce un accesso centralizzato a risorse di assistenza, gestione delle richieste e download di prodotti per i prodotti aziendali Broadcom. La piattaforma genera audit log che acquisiscono eventi di autenticazione degli utenti, attività di esecuzione dei job, accesso alle risorse e operazioni amministrative nell'infrastruttura del portale.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e l'infrastruttura del portale di assistenza Broadcom
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso amministrativo al portale di assistenza Broadcom con autorizzazioni per configurare l'inoltro di syslog
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sudo systemctl status observiq-otel-collector
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/broadcom: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: BROADCOM_SUPPORT_PORTAL raw_log_field: body service: pipelines: logs/broadcom_to_chronicle: receivers: - udplog exporters: - chronicle/broadcomSostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: Indirizzo IP e porta su cui ascoltare:0.0.0.0:514per ascoltare su tutte le interfacce sulla porta 514 (richiede l'accesso come amministratore su Linux)0.0.0.0:1514per l'ascolto su una porta senza privilegi (consigliato per Linux non root)
Opzioni del tipo di ricevitore:
udplogper UDP syslog (impostazione predefinita)tcplogper TCP syslog
Configurazione dell'esportatore:
creds_file_path: il percorso completo del file di autenticazione dell'importazione di Google SecOps:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: il tuocustomer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.endpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole dei servizi:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Premi
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurare l'inoltro di syslog del portale di assistenza Broadcom
Il portale di assistenza Broadcom può inoltrare gli eventi dei log di controllo tramite syslog a raccoglitori esterni per l'integrazione SIEM.
Configura il logging syslog remoto
- Accedi alla console di amministrazione del portale di assistenza Broadcom.
- Vai ad Amministrazione > Log > Logging remoto.
- Attiva Syslog remoto.
Configura i seguenti parametri syslog:
- Indirizzo server Syslog: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane (ad esempio,
192.168.1.100). - Porta: inserisci la porta corrispondente all'agente Bindplane
listen_address(ad esempio,514). - Protocollo: seleziona UDP (impostazione predefinita) o TCP in modo che corrisponda al tipo di ricevitore dell'agente Bindplane.
- Indirizzo server Syslog: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane (ad esempio,
Fai clic su Salva.
Seleziona le categorie di eventi di controllo
Nella configurazione Logging remoto, seleziona le categorie di eventi di controllo da inoltrare:
- Eventi di autenticazione utente: attività di accesso e disconnessione
- Eventi job: stato di esecuzione del job e modifiche dello stato
- Eventi di accesso alle risorse: accesso a risorse di assistenza e download
- Eventi amministrativi: modifiche alla configurazione e operazioni amministrative
Fai clic su Salva.
Verificare l'inoltro di Syslog
- Dopo aver salvato la configurazione di syslog, esegui un'azione di test nel portale di assistenza Broadcom (ad esempio, accedi o accedi a una risorsa).
Controlla i log dell'agente Bindplane per i messaggi syslog in arrivo:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
Verifica che i messaggi del log di controllo vengano visualizzati nei log.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| ParallelDestination, STORAGE_TYPE, JOB_NAME, kubernetes.docker_id, kubernetes.pod_id | target.resource.attribute.labels | Unite alle etichette corrispondenti |
| destinationName, responseDestinationName, DESTINATION_NAME | target.application | Valore di DESTINATION_NAME se non è vuoto, altrimenti responseDestinationName se non è null o vuoto, altrimenti destinationName |
| kubernetes.container_hash | target.file.full_path | Estratto utilizzando il pattern grok %{DATA:filepath}:%{GREEDYDATA:file_sha} |
| kubernetes.container_hash | target.file.sha256 | Estratto utilizzando il pattern grok %{DATA:filepath}:%{GREEDYDATA:file_sha} |
| groupId | target.user.group_identifiers | Unito da groupId |
| dispatch, companyId | additional.fields | Unito a dispatch_label e companyId_label |
| response, responseId | security_result.detection_fields | Unito a response_label e responseId_label |
| kubernetes.container_image, kubernetes.container_name, kubernetes.namespace_name, kubernetes.pod_name | principal.resource.attribute.labels | Unite alle etichette corrispondenti |
| GROUP_NAME | principal.group.group_display_name | Valore copiato direttamente |
| kubernetes.host | principal.asset.hostname | Valore copiato direttamente |
| kubernetes.host | principal.hostname | Valore copiato direttamente |
| payload | principal.resource.product_object_id | Valore copiato direttamente |
| gravità | security_result.severity | Convertito in maiuscolo e impostato se presente nella lista consentita |
| description, JOB_STATE | security_result.description | Valore della descrizione se non è vuoto, altrimenti JOB_STATE |
| timestamp | metadata.event_timestamp | Analizzato utilizzando i formati ISO8601, aaaa-MM-ggTHH:mm:ss.SSSSSSSSSZ, aaaa-MM-gg HH:mm:ss.SSS |
| metadata.event_type | Imposta su "USER_LOGIN" se has_principal, has_target, user_login; "USER_LOGOUT" se has_principal, has_target, user_logout; "STATUS_UPDATE" se has_principal; altrimenti "GENERIC_EVENT" | |
| extensions.auth.type | Imposta su "AUTHTYPE_UNSPECIFIED" se l'evento di accesso o uscita dell'utente | |
| metadata.product_name | Impostato su "BROADCOM_SUPPORT_PORTAL" | |
| metadata.vendor_name | Impostato su "BROADCOM_SUPPORT_PORTAL" |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.