收集 Dell CyberSense 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Dell PowerProtect CyberSense 日志注入到 Google Security Operations。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Dell PowerProtect 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中,或位于 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_CYBERSENSE' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 Dell CyberSense 配置 Syslog
- 使用 CLI 登录 Dell PowerProtect。
- 修改
/etc/audisp/plugins.d/syslog.conf文件,使active = yes,然后保存并退出该文件。 使用
vi打开该文件,输入以下命令,然后保存并退出该文件。您可以输入:wq来保存并退出文件:$ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor *.* @<Bindplane_IP>:514- 将
<Bindplane_IP>替换为 Bindplane 代理 IP 地址。
- 将
重启 rsyslog 服务:
service rsyslog restart
支持的 Dell CyberSense 示例日志
SYSLOG(标准)
<141>CVDataDomain ddsh: NOTICE: MSG-DDSH-00009: (tty=<>, session=000, client_IP=192.168.1.100) admin_user: command "net config"SYSLOG + CEF
<142>Nov 11 00:36:30 internal-host-01 mc_server: CEF:0| Index Engines| Catalyst| 8.6.0-1.27| iecrd| iecrd_job - done_ok| normal| {'crjobids': [0000], 'crpolicy': 'policy_id_01', 'lanjobinstid': 0000, 'lanjobdefname': 'policy_name_01', 'message': 'Completed LAN indexing job.'}SYSLOG + CEF + JSON(结构化)
<142>Jan 31 08:36:19 internal-host-01 writeDetailedSyslog: CEF:0| Index Engines| Catalyst| 8.6.0-1.27| iecrd| iecrd_infection - inprogress| detail| { "crjobid": 0000, "engine_id": "A1B2C3D4E5F6", "URL": "https://cyber-sense-ui.internal.corp/CyberSenseUI", "host": "host_id_999", "path": "/data/volume1/backup-mount-point/", "infection_classes": [ "The file retains its original name and file extension, but the content has been encrypted." ] }SYSLOG + CEF + JSON(单行)
<142>Dec 6 11:56:51 internal-host-01 mc_server: CEF:0|Index Engines|Catalyst|8.6.0-1.27|dispatch|dispatch_seg - done_ok|normal|{"dbname": "/opt/ie/var/segment_01.db", "dbuuid": "00000000-0000-0000-0000-000000000000"}
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。