Broadcom サポートポータルの監査ログを収集する
このドキュメントでは、Bindplane エージェントを使用して Broadcom サポートポータルの監査ログを Google Security Operations に取り込む方法について説明します。
Broadcom サポート ポータルでは、Broadcom エンタープライズ製品のサポート リソース、ケース管理、製品ダウンロードに一元的にアクセスできます。このプラットフォームは、ポータル インフラストラクチャ全体でユーザー認証イベント、ジョブ実行アクティビティ、リソース アクセス、管理オペレーションをキャプチャする監査ログを生成します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Broadcom サポートポータル インフラストラクチャ間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- syslog 転送を構成する権限を持つ Broadcom サポート ポータルへの管理者アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/broadcom: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: BROADCOM_SUPPORT_PORTAL raw_log_field: body service: pipelines: logs/broadcom_to_chronicle: receivers: - udplog exporters: - chronicle/broadcom各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:0.0.0.0:514: ポート 514 のすべてのインターフェースをリッスンします(Linux で root が必要)。0.0.0.0:1514: 非特権ポートでリッスンする(Linux の非 root ユーザーにおすすめ)
受信機のタイプ オプション:
- UDP Syslog の
udplog(デフォルト) - TCP Syslog の
tcplog
- UDP Syslog の
エクスポータの構成:
creds_file_path: Google SecOps の取り込み認証ファイルの完全パス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:customer ID。詳細については、Google SecOps の顧客 ID を取得するをご覧ください。endpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Broadcom サポート ポータルの syslog 転送を構成する
Broadcom サポートポータルは、syslog 経由で監査ログイベントを外部コレクタに転送して、SIEM と統合できます。
リモート syslog ロギングを構成する
- Broadcom サポート ポータルの管理コンソールにログインします。
- [管理] > [ログ] > [リモート ロギング] に移動します。
- [リモート Syslog] を有効にします。
次の syslog パラメータを構成します。
- Syslog サーバー アドレス: Bindplane エージェント ホストの IP アドレスまたはホスト名(
192.168.1.100など)を入力します。 - ポート: Bindplane エージェントの
listen_addressに一致するポート(514など)を入力します。 - プロトコル: Bindplane エージェントのレシーバー タイプに合わせて、UDP(デフォルト)または TCP を選択します。
- Syslog サーバー アドレス: Bindplane エージェント ホストの IP アドレスまたはホスト名(
[保存] をクリックします。
監査イベントのカテゴリを選択する
[リモート ロギング] 構成で、転送する監査イベント カテゴリを選択します。
- ユーザー認証イベント: ログインとログアウトのアクティビティ
- ジョブイベント: ジョブの実行ステータスと状態の変更
- リソース アクセス イベント: サポート リソースとダウンロードへのアクセス
- 管理イベント: 構成の変更と管理オペレーション
[保存] をクリックします。
syslog 転送を確認する
- syslog 構成を保存したら、Broadcom サポートポータルでテスト アクション(ログインやリソースへのアクセスなど)を実行します。
Bindplane エージェントのログで受信 syslog メッセージを確認します。
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
監査ログ メッセージがログに表示されることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| ParallelDestination、STORAGE_TYPE、JOB_NAME、kubernetes.docker_id、kubernetes.pod_id | target.resource.attribute.labels | 対応するラベルと統合 |
| destinationName、responseDestinationName、DESTINATION_NAME | target.application | DESTINATION_NAME が空でない場合はその値。それ以外の場合は responseDestinationName が null または空でない場合はその値。それ以外の場合は destinationName |
| kubernetes.container_hash | target.file.full_path | grok パターン %{DATA:filepath}:%{GREEDYDATA:file_sha} を使用して抽出されました |
| kubernetes.container_hash | target.file.sha256 | grok パターン %{DATA:filepath}:%{GREEDYDATA:file_sha} を使用して抽出されました |
| groupId | target.user.group_identifiers | groupId から統合 |
| dispatch、companyId | additional.fields | dispatch_label および companyId_label と統合 |
| response、responseId | security_result.detection_fields | response_label および responseId_label と統合されました |
| kubernetes.container_image、kubernetes.container_name、kubernetes.namespace_name、kubernetes.pod_name | principal.resource.attribute.labels | 対応するラベルと統合 |
| GROUP_NAME | principal.group.group_display_name | 値を直接コピーしました |
| kubernetes.host | principal.asset.hostname | 値を直接コピーしました |
| kubernetes.host | principal.hostname | 値を直接コピーしました |
| payload | principal.resource.product_object_id | 値を直接コピーしました |
| 重要度 | security_result.severity | 大文字に変換し、許可リストに含まれているかどうかを設定します |
| description、JOB_STATE | security_result.description | 説明の値(空でない場合)、それ以外の場合は JOB_STATE |
| timestramp | metadata.event_timestamp | ISO8601、yyyy-MM-ddTHH:mm:ss.SSSSSSSSSZ、yyyy-MM-dd HH:mm:ss.SSS 形式を使用して解析されます |
| metadata.event_type | has_principal、has_target、user_login の場合は「USER_LOGIN」、has_principal、has_target、user_logout の場合は「USER_LOGOUT」、has_principal の場合は「STATUS_UPDATE」、それ以外の場合は「GENERIC_EVENT」に設定します。 | |
| extensions.auth.type | ユーザーのログインまたはログアウト イベントの場合は、「AUTHTYPE_UNSPECIFIED」に設定します。 | |
| metadata.product_name | 「BROADCOM_SUPPORT_PORTAL」に設定 | |
| metadata.vendor_name | 「BROADCOM_SUPPORT_PORTAL」に設定 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。