Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Dell OpenManage

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Dell OpenManage no Google Security Operations usando o Bindplane. O código do analisador do Logstash primeiro extrai pares de chave-valor dos registros brutos do DELL_OPENMANAGE usando padrões grok e manipulação de strings. Em seguida, ele mapeia os campos extraídos para os campos correspondentes do modelo de dados unificado (UDM), enriquecendo os dados com contexto de segurança e padronizando o formato para análise posterior.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Dell OpenManage

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'DELL_OPENMANAGE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog para o ESET PROTECT local

Faça login no console da Web do ESET Protect.
Acesse Alertas > Políticas de alerta > Criar.
Informe os seguintes detalhes de configuração:
- Na caixa de diálogo Criar política de alertas, insira um Nome e uma Descrição significativos para a política.
- Verifique se a caixa de seleção Ativar política está marcada.
- Clique em Próxima.
- Categoria: expanda Application e selecione todas as categorias e subcategorias dos registros do eletrodoméstico.
- Clique em Próxima.
- Segmentação: a opção Selecionar dispositivos é selecionada por padrão. Não selecione nenhum dispositivo de destino, porque os registros são encaminhados para o Bindplane.
- Clique em Próxima.
- Gravidade: marque a caixa de seleção Todas.
- Clique em Próxima.
- Ações: selecione Syslog.
- Clique em Ativar e insira o endereço IP do agente do Bindplane.
- Clique em Próxima.
Clique em Concluir.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
data.HostName	read_only_udm.principal.hostname	O valor de `HostName` do registro bruto é mapeado diretamente para `read_only_udm.principal.hostname`.
data.IP	read_only_udm.target.ip	O valor de `IP` do registro bruto é mapeado diretamente para `read_only_udm.target.ip`.
data.Message	read_only_udm.metadata.description	O valor de `Message` do registro bruto é mapeado diretamente para `read_only_udm.metadata.description`.
data.MessageID	read_only_udm.additional.fields.value.string_value	O valor de `MessageID` do registro bruto é mapeado diretamente para `read_only_udm.additional.fields.value.string_value`.
data.Recommended Action	read_only_udm.additional.fields.value.string_value	O valor de `Recommended Action` do registro bruto é mapeado diretamente para `read_only_udm.additional.fields.value.string_value`.
data.Severity	read_only_udm.security_result.severity	O valor de `Severity` do registro bruto é mapeado para `read_only_udm.security_result.severity` depois de ser convertido para maiúsculas.
data.timestamp.nanos	read_only_udm.metadata.event_timestamp.nanos	O valor de `timestamp.nanos` do registro bruto é mapeado diretamente para `read_only_udm.metadata.event_timestamp.nanos`.
data.timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	O valor de `timestamp.seconds` do registro bruto é mapeado diretamente para `read_only_udm.metadata.event_timestamp.seconds`.
	read_only_udm.metadata.event_type	Esse campo é determinado com base no conteúdo do campo `Message` do registro bruto.
	read_only_udm.metadata.log_type	Esse campo é codificado como `DELL_OPENMANAGE` no código do analisador.
	read_only_udm.metadata.product_name	Esse campo é codificado como `DELL_OPENMANAGE` no código do analisador.
	read_only_udm.metadata.vendor_name	Esse campo é codificado como `DELL` no código do analisador.
	read_only_udm.additional.fields.key	Esse nome de campo é codificado no código do analisador. O valor desse campo é `MessageID` ou `Recommended_Action`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.