Collecter les journaux Dell EMC PowerStore
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer des journaux Dell EMC PowerStore dans Google Security Operations à l'aide de Bindplane.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Instance Google SecOps
- Windows 2016 ou version ultérieure, ou un hôte Linux avec
systemd - Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
- Accès privilégié à Dell PowerStore
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml. Il se trouve généralement dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'DELL_EMC_POWERSTORE' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsRemplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez
<customer_id>par le numéro client réel.Mettez à jour
/path/to/ingestion-authentication-file.jsonavec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agentPour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer Syslog pour Dell EMC PowerStore
- Connectez-vous à la console de gestion Dell PowerStore.
- Accédez à Paramètres > Sécurité > Journalisation à distance.
- Cliquez sur + Ajouter.
- Fournissez les informations de configuration suivantes :
- Adresse IP de l'hôte : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple,
514pour UDP). - Protocole : sélectionnez UDP.
- Types d'audit : sélectionnez Authentification, Autorisation, Configuration, Déconnexion et Système.
- Cliquez sur Enregistrer.
Exemples de journaux Dell EMC PowerStore acceptés
Audit de l'exécution des scripts de service
{ "description": "Dell EMC PowerStore - Service Script Execution Audit", "format": "SYSLOG + KV", "raw_log": "<110>Sep 24 14:05:32 NODE-ALPHA-01 [222]: 2024-09-23T17:02:20 NODE-ALPHA-01 PS-ID-88291 222@9XJLYZ4 Service " "[PowerStore_audit_event@1139 id=\"\"881726\"\" user=\"\"user_svc_01\"\" resource_type=\"\"not applicable\"\" " "action=\"\"not applicable\"\" client_ip=\"\"not applicable\"\" appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "User user_svc_01 executed the service script command [/usr/local/bin/svc_diagnostic list] from NODE-ALPHA-02 via shell." }Modification de la configuration (création)
{ "description": "Dell EMC PowerStore - Configuration Change (Create)", "format": "SYSLOG + KV", "raw_log": "<110>Sep 25 07:09:41 NODE-BETA-05 [222]: 2024-09-24T14:40:52 NODE-BETA-05 PS-ID-11042 222@9XJLYZ4 Config " "[PowerStore_audit_event@1139 id=\"\"992837\"\" user=\"\"user_adm_01\"\" resource_type=\"\"datacollection\"\" " "action=\"\"create\"\" client_ip=\"\"192.0.2.15\"\" appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "Successfully created Data Collection for resource type: appliance, resource ids: [ \"\"A1\"\" ], logs from timestamp: " "and logs to timestamp: with ID: 4f12a333-b8ea-9ccc-a186-0f27752da1a2." }Gestion des alertes
{ "description": "Dell EMC PowerStore - Alert Management", "format": "SYSLOG + KV", "raw_log": "<110>Sep 25 07:09:43 NODE-GAMMA-09 [222]: 2024-09-24T21:19:45 NODE-GAMMA-09 PS-ID-22941 222@9XJLYZ4 Config " "[PowerStore_audit_event@1139 id=\"\"445566\"\" user=\"\"not applicable\"\" " "resource_type=\"\"alert\"\" action=\"\"modify\"\" client_ip=\"\"not applicable\"\" " "appliance=\"\"APPLIANCE-X1\"\" status=\"\"success\"\"] " "Successfully force cleared alert with ID: 7d88bc21-5a91-4b11-975b-edbefacc8036." }
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.