Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Dell EMC Data Domain

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Dell EMC Data Domain in Google Security Operations utilizzando Bindplane. Il codice del parser Logstash estrae innanzitutto i campi chiave dai log DELL_EMC_DATA_DOMAIN non elaborati utilizzando i pattern grok basati sul formato dei messaggi di log. Poi, esegue il mapping dei campi estratti ai campi corrispondenti nello schema Unified Data Model (UDM), arricchendo i dati con un contesto aggiuntivo come il tipo di evento e il risultato di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso con privilegi a Dell EMC Data Domain

Recuperare il file di autenticazione per l'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione per l'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviare i dati a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come indicato di seguito:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_EMC_DATA_DOMAIN'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recuperare il file di autenticazione per l'importazione di Google SecOps.

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Syslog per Dell EMC Data Domain

Accedi a Dell EMC Data Domain utilizzando l'interfaccia a riga di comando.
Visualizza la configurazione attuale:
```
log host show
```
Attiva l'invio di messaggi di log ad altri sistemi:
```
log host enable
```
Aggiungi l'IP dell'agente Bindplane a Syslog utilizzando il seguente comando, sostituendo <bindplane-ip> con l'indirizzo IP effettivo dell'agente Bindplane.
```
log host add <bindplane-ip>
```
Aggiungi la porta dell'agente Bindplane a Syslog utilizzando il seguente comando, sostituendo <bindplane-port> con il numero di porta effettivo dell'agente Bindplane.
```
log server-port set <bindplane-port>
```

Log di esempio di Dell EMC Data Domain supportati

SYSLOG + KV

<174>ddsh: {epoch=1649171401;id='AUDIT-DDSH-00001';desc='DDSH CLI command';level=3;user='dummy_user';role='se';app='ddsh';host='dd-host-1';detail='cmd=cifs show detailed-stats';}

SYSLOG

<38>sshd[13244]: Accepted publickey for dd-admin from 192.0.2.1 port 57656 ssh2: RSA SHA256:+BWDxlMYuJgfC0LhzacEAUpFHlAZlNOYXAKKJ4SAipQ

JSON

{
"Timestamp": "2024-09-05T13:25:14Z",
"EventName": "Participant left session",
"EventType": "Session",
"Username": "user_9999",
"EventDetails": [
  {
    "OldValue": "",
    "NewValue": "1352719861",
    "PolicyEnforcementNewValue": null,
    "PolicyEnforcementOldValue": null,
    "PropertyName": "ID of affected participant",
    "PropertyCategory": "AffectedParticipant"
  },
  {
    "OldValue": "",
    "NewValue": "User Name 1",
    "PolicyEnforcementNewValue": null,
    "PolicyEnforcementOldValue": null,
    "PropertyName": "Name of affected participant",
    "PropertyCategory": "AffectedParticipant"
  }
],
"Computer": "HOST-PC-400",
"EventId": 35139395
}

SYSLOG + XML

<21>1 2024-08-01T12:31:40.791267+02:00 VEEM-HOST-01 Veeam_ONE_Server 7172 - [origin enterpriseId="31023"] Operation:"SendEmail" Email has been sent Data:<data><recipient>recipient@example.com</recipient><subject>VM resetting Information for Virtual Machine &quot;VM_RESTORED_2024&quot;</subject></data>

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
app	read_only_udm.target.application	Il valore viene recuperato dal campo "app" estratto dal primo parser grok.
cmd	read_only_udm.target.process.command_line	Il valore viene recuperato dal campo "cmd" estratto dal primo parser grok o dal campo "detail" se il campo "cmd" è vuoto.
decr	read_only_udm.metadata.description	Il valore viene recuperato dal campo "decr" estratto dal primo parser grok.
epoch	read_only_udm.metadata.event_timestamp.seconds	Il valore viene recuperato dal campo "epoch" e convertito in un timestamp utilizzando il filtro "date".
host	read_only_udm.principal.hostname	Il valore viene recuperato dal campo "host" estratto dal primo parser grok.
id	read_only_udm.metadata.product_event_type	Il valore viene recuperato dal campo "id" estratto dal primo parser grok.
pid	read_only_udm.target.process.pid	Il valore viene recuperato dal campo "pid" estratto dal primo parser grok.
reason	read_only_udm.security_result.description	Il valore viene recuperato dal campo "reason" estratto dal primo parser grok.
role	read_only_udm.principal.user.attribute.roles.name	Il valore viene recuperato dal campo "role" estratto dal primo parser grok.
session_id	read_only_udm.network.session_id	Il valore viene recuperato dal campo "session_id" estratto dal primo parser grok.
src_ip	read_only_udm.principal.ip	Il valore viene recuperato dal campo "src_ip" estratto dal secondo parser grok.
src_port	read_only_udm.principal.port	Il valore viene recuperato dal campo "src_port" estratto dal secondo parser grok e convertito in un numero intero.
timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	Il valore viene recuperato dal campo "timestamp.nanos" del log non elaborato.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Il valore viene recuperato dal campo "timestamp.seconds" del log non elaborato.
user	read_only_udm.target.user.userid	Il valore viene recuperato dal campo "user" estratto dal primo o dal secondo parser grok.
	read_only_udm.extensions.auth.mechanism	Il valore è impostato su "USERNAME_PASSWORD" se il campo "decr" corrisponde a pattern specifici relativi agli eventi di accesso o disconnessione dell'utente.
	read_only_udm.metadata.event_type	Il valore è determinato da una serie di istruzioni condizionali basate sui valori di altri campi, principalmente "decr", "src_ip" e "host".
	read_only_udm.metadata.log_type	Codificato come "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.product_name	Codificato come "DELL_EMC_DATA_DOMAIN".
	read_only_udm.metadata.vendor_name	Codificato come "DELL".
	read_only_udm.network.http.method	Il valore viene recuperato dal campo "method" estratto dal filtro KV.
	read_only_udm.network.http.response_code	Il valore viene recuperato dal campo "response_code" estratto dal filtro KV e convertito in un numero intero.
	read_only_udm.network.ip_protocol	Il valore viene derivato dal campo "protocol_number_src" utilizzando una tabella di ricerca e la configurazione "parse_ip_protocol.include".
	read_only_udm.security_result.severity	Il valore è impostato su "MEDIUM" se il campo "message" contiene la stringa "NOTICE".
	read_only_udm.target.file.sha256	Il valore viene recuperato dal campo "sha256" estratto dal secondo parser grok, convertito in minuscolo e convalidato come stringa esadecimale.
	read_only_udm.target.process.file.full_path	Il valore viene recuperato dal campo "path" o "file", a seconda di quale non è vuoto.
	read_only_udm.target.url	Il valore viene recuperato dal campo "uri" estratto dal filtro KV.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.