Dell EMC PowerStore-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Dell EMC PowerStore-Logs mit Bindplane in Google Security Operations aufnehmen.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Windows 2016 oder höher oder ein Linux-Host mit
systemd - Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
- Privilegierter Zugriff auf Dell PowerStore
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie im Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
- Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_POWERSTORE' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog für Dell EMC PowerStore konfigurieren
- Melden Sie sich in der Dell PowerStore-Verwaltungskonsole an.
- Gehen Sie zu den Einstellungen> „Sicherheit“ > „Remote-Logging“.
- Klicken Sie auf + Hinzufügen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Host-IP-Adresse: Geben Sie die IP-Adresse des BindPlane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein (z. B.
514für UDP). - Protokoll: Wählen Sie „UDP“ aus.
- Audit-Typen: Wählen Sie Authentifizierung, Autorisierung, Konfiguration, Abmeldung und System aus.
- Klicken Sie auf Speichern.
Unterstützte Dell EMC PowerStore-Beispiellogs
Audit der Ausführung von Dienstskripts
{ "description": "Dell EMC PowerStore - Service Script Execution Audit", "format": "SYSLOG + KV", "raw_log": "<110>Sep 24 14:05:32 NODE-ALPHA-01 [222]: 2024-09-23T17:02:20 NODE-ALPHA-01 PS-ID-88291 222@9XJLYZ4 Service " "[PowerStore_audit_event@1139 id=\"\"881726\"\" user=\"\"user_svc_01\"\" resource_type=\"\"not applicable\"\" " "action=\"\"not applicable\"\" client_ip=\"\"not applicable\"\" appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "User user_svc_01 executed the service script command [/usr/local/bin/svc_diagnostic list] from NODE-ALPHA-02 via shell." }Konfigurationsänderung (Erstellung)
{ "description": "Dell EMC PowerStore - Configuration Change (Create)", "format": "SYSLOG + KV", "raw_log": "<110>Sep 25 07:09:41 NODE-BETA-05 [222]: 2024-09-24T14:40:52 NODE-BETA-05 PS-ID-11042 222@9XJLYZ4 Config " "[PowerStore_audit_event@1139 id=\"\"992837\"\" user=\"\"user_adm_01\"\" resource_type=\"\"datacollection\"\" " "action=\"\"create\"\" client_ip=\"\"192.0.2.15\"\" appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "Successfully created Data Collection for resource type: appliance, resource ids: [ \"\"A1\"\" ], logs from timestamp: " "and logs to timestamp: with ID: 4f12a333-b8ea-9ccc-a186-0f27752da1a2." }Benachrichtigungen verwalten
{ "description": "Dell EMC PowerStore - Alert Management", "format": "SYSLOG + KV", "raw_log": "<110>Sep 25 07:09:43 NODE-GAMMA-09 [222]: 2024-09-24T21:19:45 NODE-GAMMA-09 PS-ID-22941 222@9XJLYZ4 Config " "[PowerStore_audit_event@1139 id=\"\"445566\"\" user=\"\"not applicable\"\" " "resource_type=\"\"alert\"\" action=\"\"modify\"\" client_ip=\"\"not applicable\"\" " "appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "Successfully force cleared alert with ID: 7d88bc21-5a91-4b11-975b-edbefacc8036." }
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten