Dell ECS ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Dell ECS Enterprise Object Storage ログを Google Security Operations に取り込む方法について説明します。
Dell ECS は、ログイン、ログアウト、認証情報管理イベントの syslog メッセージを生成するエンタープライズ オブジェクト ストレージ プラットフォームです。パーサーはフィールドを抽出し、統合データモデル(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Dell ECS システム間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- ECS 管理ポータルの管理者の認証情報
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムに、ファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/dell_ecs: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: DELL_ECS raw_log_field: body service: pipelines: logs/dell_ecs_to_chronicle: receivers: - udplog exporters: - chronicle/dell_ecs
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要です。root 以外のユーザーは1514を使用します)。
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル> 保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
syslog サーバーにログを転送するように Dell ECS を構成する
- 管理者認証情報を使用して ECS 管理ポータルにログインします。
- [Settings]> [Event Notifications] > [Syslog] に移動します。
- [新しいサーバー] をクリックします。
- 以下の詳細を入力します。
- プロトコル: [UDP] または [TCP] を選択します(Syslog サーバーで構成されているプロトコルと一致していることを確認してください)。
- ターゲット: syslog サーバーの IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。
- ポート: ポート番号を入力します。
- 重大度: 転送するログの最小重大度レベルとして [Informational] を選択します。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| data | read_only_udm.metadata.description | eventType が UPDATE の場合、説明は正規表現を使用して data フィールドから抽出されます。eventType が DELETE の場合、正規表現を使用して data フィールドから説明が抽出され、ユーザー ID を抽出するためにさらに処理されます。 |
| data | read_only_udm.principal.ip | eventType が UPDATE の場合、正規表現を使用して data フィールドから IP アドレスが抽出されます。 |
| data | read_only_udm.target.resource.product_object_id | eventType が DELETE の場合、URN トークンは正規表現を使用して data フィールドから抽出されます。 |
| data | read_only_udm.target.user.userid | eventType が UPDATE の場合、正規表現を使用して data フィールドからユーザー ID が抽出されます。eventType が DELETE の場合、data フィールドの初期処理後に説明フィールドからユーザー ID が抽出されます。 |
| eventType | read_only_udm.metadata.event_type | eventType が UPDATE で、userid が抽出された場合は、イベントタイプが USER_LOGIN に設定されます。eventType が DELETE で、userid が抽出された場合は、イベントタイプが USER_LOGOUT に設定されます。それ以外の場合、イベントタイプは GENERIC_EVENT に設定されます。 |
| eventType | read_only_udm.metadata.product_event_type | この値は、未加工ログの serviceType フィールドと eventType フィールドを連結し、角かっこで囲んで「-」で区切ることで導出されます。 |
| hostname | read_only_udm.principal.asset.hostname | ホスト名は hostname フィールドからコピーされます。 |
| hostname | read_only_udm.principal.hostname | ホスト名は hostname フィールドからコピーされます。 |
| log_type | read_only_udm.metadata.log_type | ログタイプは DELL_ECS に設定されます。メカニズムは MECHANISM_UNSPECIFIED にハードコードされています。イベントのタイムスタンプは、未加工ログエントリの timestamp フィールドからコピーされます。プロダクト名は ECS にハードコードされています。ベンダー名は DELL にハードコードされています。eventType が DELETE の場合、リソースタイプは CREDENTIAL にハードコードされます。 |
| timestamp | read_only_udm.metadata.event_timestamp | イベントのタイムスタンプは、未加工ログエントリの timestamp フィールドから取得されます。 |
| timestamp | timestamp | タイムスタンプは、未加工ログエントリの timestamp フィールドから解析されます。 |
変更履歴
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。