Dell CyberSense 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane을 사용하여 Dell PowerProtect CyberSense 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
- Dell PowerProtect에 대한 액세스 권한 관리
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_CYBERSENSE' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Dell CyberSense용 Syslog 구성
- CLI를 사용하여 Dell PowerProtect에 로그인합니다.
active = yes이 되도록/etc/audisp/plugins.d/syslog.conf파일을 수정하고 파일을 저장한 후 종료합니다.vi를 사용하여 파일을 열고 다음 명령어를 입력한 다음 파일을 저장하고 종료합니다.:wq를 입력하여 파일을 저장하고 종료할 수 있습니다.$ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @<Bindplane_IP>:514<Bindplane_IP>를 Bindplane 에이전트 IP 주소로 바꿉니다.
rsyslog 서비스를 다시 시작합니다.
service rsyslog restart
지원되는 Dell CyberSense 샘플 로그
SYSLOG (표준)
<141>CVDataDomain ddsh: NOTICE: MSG-DDSH-00009: (tty=<>, session=000, client_IP=192.168.1.100) admin_user: command "net config"SYSLOG + CEF
<142>Nov 11 00:36:30 internal-host-01 mc_server: CEF:0| Index Engines| Catalyst| 8.6.0-1.27| iecrd| iecrd_job - done_ok| normal| {'crjobids': [0000], 'crpolicy': 'policy_id_01', 'lanjobinstid': 0000, 'lanjobdefname': 'policy_name_01', 'message': 'Completed LAN indexing job.'}SYSLOG + CEF + JSON (구조화)
<142>Jan 31 08:36:19 internal-host-01 writeDetailedSyslog: CEF:0| Index Engines| Catalyst| 8.6.0-1.27| iecrd| iecrd_infection - inprogress| detail| { "crjobid": 0000, "engine_id": "A1B2C3D4E5F6", "URL": "https://cyber-sense-ui.internal.corp/CyberSenseUI", "host": "host_id_999", "path": "/data/volume1/backup-mount-point/", "infection_classes": [ "The file retains its original name and file extension, but the content has been encrypted." ] }SYSLOG + CEF + JSON (단일 행)
<142>Dec 6 11:56:51 internal-host-01 mc_server: CEF:0|Index Engines|Catalyst|8.6.0-1.27|dispatch|dispatch_seg - done_ok|normal|{"dbname": "/opt/ie/var/segment_01.db", "dbuuid": "00000000-0000-0000-0000-000000000000"}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.