Raccogliere i log LDAP della CA
Questo documento spiega come importare i log LDAP CA in Google Security Operations utilizzando l'agente Bindplane.
CA Directory (in precedenza Symantec Directory) è un server di directory conforme a LDAP v2/v3 basato sugli standard X.500. Fornisce servizi di directory a livello aziendale con funzionalità di logging complete, tra cui log di allarme, traccia, avviso, query, riepilogo, connessione, diagnostica, aggiornamento e statistiche per il monitoraggio delle operazioni di directory e degli eventi di sicurezza.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server CA Directory
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi al server CA Directory (root o amministratore)
- Directory CA installata e configurata con il logging abilitato
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/ca_directory: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CA_LDAP raw_log_field: body ingestion_labels: env: production source: ca_directory service: pipelines: logs/ca_directory_to_chronicle: receivers: - udplog exporters: - chronicle/ca_directorySostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: impostalo su0.0.0.0:514per ascoltare tutte le interfacce sulla porta UDP 514- Per le installazioni non root di Linux, utilizza la porta
1514o versioni successive - Assicurati che la porta corrisponda a quella configurata nell'inoltro di rsyslog
- Per le installazioni non root di Linux, utilizza la porta
Configurazione dell'esportatore:
creds_file_path: Percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: sostituisciYOUR_CUSTOMER_IDcon il tuocustomer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.endpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com
- Stati Uniti:
log_type: impostato suCA_LDAP(etichetta di importazione di Chronicle per CA Directory)ingestion_labels: Etichette facoltative per il filtraggio e l'organizzazione
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole dei servizi:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Premi
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configura l'inoltro di syslog LDAP della CA utilizzando rsyslog
Questa sezione descrive come configurare rsyslog sul server CA Directory per inoltrare i log all'agente Bindplane.
Identificare le posizioni dei file di log della directory CA
CA Directory archivia i file di log nei seguenti percorsi:
- Linux:
/opt/CA/Directory/dxserver/logs/ - Windows:
C:\Program Files\CA\Directory\dxserver\logs\
I file di log seguono schemi di denominazione basati sul nome DSA (ad esempio, democorp_alarm, democorp_warn, democorp_trace).
Tipi di log disponibili
CA Directory genera i seguenti tipi di log:
- Log allarmi: eventi critici (sempre attivi)
- Log di avviso: errori e avvisi
- Log di traccia: tracciamento dettagliato dell'operazione
- Log delle query: informazioni dettagliate sull'operazione con timestamp
- Log di riepilogo: riepiloghi delle operazioni
- Log di connessione: eventi di connessione e disconnessione
- Log diagnostica: operazioni rifiutate
- Log delle statistiche: statistiche operative al minuto
- Log degli aggiornamenti: operazioni di aggiunta, modifica, ridenominazione ed eliminazione
- Log temporale: informazioni sulla temporizzazione dell'operazione
Configurare rsyslog su Linux
Accedi al server CA Directory come root o con privilegi sudo.
Installa rsyslog se non è già installato:
sudo yum install rsyslogOppure per Debian/Ubuntu:
sudo apt-get install rsyslogCrea un nuovo file di configurazione rsyslog per CA Directory:
sudo nano /etc/rsyslog.d/ca-directory.confAggiungi la seguente configurazione per inoltrare i log della directory CA:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Monitor CA Directory query logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_query*" Tag="ca-directory-query" Severity="info" Facility="local0") # Monitor CA Directory connection logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_connection*" Tag="ca-directory-connection" Severity="info" Facility="local0") # Monitor CA Directory update logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_update*" Tag="ca-directory-update" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopSostituisci
BINDPLANE_AGENT_IPcon l'indirizzo IP dell'host dell'agente Bindplane:- Se l'agente Bindplane si trova sullo stesso server:
127.0.0.1 - Se l'agente Bindplane si trova su un server diverso: inserisci l'indirizzo IP (ad esempio
192.168.1.100).
- Se l'agente Bindplane si trova sullo stesso server:
Salva il file di configurazione:
Premi
Ctrl+O, poiEntere infineCtrl+X.Verifica la sintassi di configurazione di rsyslog:
sudo rsyslogd -N1Riavvia il servizio rsyslog:
sudo systemctl restart rsyslogVerifica che rsyslog sia in esecuzione:
sudo systemctl status rsyslogControlla la presenza di errori nei log di rsyslog:
sudo tail -f /var/log/messages
Configurare rsyslog su Windows
Scarica e installa rsyslog per Windows dal sito web di rsyslog.
Apri il file di configurazione rsyslog:
notepad "C:\Program Files\rsyslog\rsyslog.conf"Aggiungi la seguente configurazione:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopSostituisci
BINDPLANE_AGENT_IPcon l'indirizzo IP dell'host dell'agente Bindplane.Salva il file di configurazione.
Riavvia il servizio rsyslog:
net stop rsyslog net start rsyslog
Abilitare la registrazione di CA Directory
Assicurati che i tipi di log richiesti siano abilitati in CA Directory:
Modifica il file di configurazione DSA:
- Linux:
/opt/CA/Directory/dxserver/config/servers/democorp.dxc - Windows:
C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
- Linux:
Verifica o aggiungi le seguenti impostazioni di logging:
set alarm-log = true; set warn-log = true; set trace-log = true; set query-log = true; set connection-log = true; set update-log = true;Salva il file di configurazione.
Riavvia il DSA della directory CA:
Linux:
dxserver stop democorp dxserver start democorpWindows:
net stop "CA Directory DSA - democorp" net start "CA Directory DSA - democorp"
Verificare l'inoltro dei log
Genera attività di test in CA Directory eseguendo query LDAP o tentativi di autenticazione.
Controlla i log dell'agente Bindplane per verificare che i log vengano ricevuti:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Accedi alla console Google SecOps e verifica che i log di CA Directory vengano visualizzati nel visualizzatore log.
Per saperne di più sulla registrazione di CA Directory, consulta la documentazione di Broadcom CA Directory.
Per esempi dettagliati di configurazione di rsyslog, consulta l'articolo della knowledge base di Broadcom sulla registrazione centralizzata.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name | additional.fields | Uniti come etichette con le chiavi "ephemeral_id", "irm_region", "irm_environment", "irm_site", "os_name" rispettivamente |
| host.architecture | hardware.cpu_platform | Valore copiato direttamente |
| logstash.process.host | intermediary.hostname | Valore copiato direttamente |
| logstash.collect.timestamp | metadata.collected_timestamp | Analizzato come timestamp utilizzando il filtro della data |
| msg | metadata.description | Valore copiato direttamente |
| metadata.event_type | Imposta su "STATUS_UPDATE" | |
| agent.type, agent.version | observer.application | Concatenato come "%{agent.type} %{agent.version}" se entrambi non sono vuoti, altrimenti "%{agent.type}" |
| agent.type, agent.id | observer.asset_id | Concatenato come "%{agent.type}: %{agent.id}" |
| agent.hostname | observer.hostname | Valore copiato direttamente |
| host.id | principal.asset.asset_id | Concatenato come "CA_LDAP:%{host.id}" |
| hardware | principal.asset.hardware | Unito dall'oggetto hardware |
| host.hostname | principal.hostname | Valore copiato direttamente |
| host.ip | principal.ip | Unito dall'array host.ip |
| host.mac | principal.mac | Unito dall'array host.mac |
| host.os.family | principal.platform | Imposta su "LINUX" se corrisponde a "(rhel|redhat)" |
| host.os.kernel | principal.platform_patch_level | Valore copiato direttamente |
| host.os.version | principal.platform_version | Valore copiato direttamente |
| log.file.path | principal.process.file.full_path | Valore copiato direttamente |
| syslog_severity | security_result.severity | Impostato su "INFORMATIONAL" se corrisponde a "(?i)(DEFAULT|DEBUG|INFO|NOTICE)", "ERROR" se corrisponde a "(?i)ERROR", "MEDIUM" se corrisponde a "(?i)WARNING", "HIGH" se corrisponde a "(?i)(CRITICAL|ALERT|EMERGENCY)" |
| syslog_severity | security_result.severity_details | Valore copiato direttamente |
| metadata.product_name | Imposta su "CA_LDAP" | |
| metadata.vendor_name | Imposta su "CA_LDAP" |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.