Raccogli i log DDI di EfficientIP
Questo documento spiega come importare i log DDI di EfficientIP in Google Security Operations utilizzando l'agente Bindplane.
EfficientIP SOLIDserver è una soluzione DDI (DNS-DHCP-IPAM) completa che offre appliance virtuali e hardware altamente scalabili, sicure e robuste per servizi di rete critici, tra cui DNS, DHCP, gestione degli indirizzi IP, NTP e TFTP. La piattaforma fornisce gestione e automazione centralizzate per l'infrastruttura di rete con funzionalità avanzate di monitoraggio e sicurezza.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure un host Linux con
systemd - Connettività di rete tra l'agente Bindplane e l'appliance EfficientIP SOLIDserver
- Se l'esecuzione avviene tramite un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso amministrativo alla console web EfficientIP SOLIDserver
- SOLIDserver versione 8.0 o successive (testato con le versioni 8.3.x e 8.4.x)
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sc query observiq-otel-collectorLo stato del servizio deve essere RUNNING.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sudo systemctl status observiq-otel-collectorLo stato del servizio deve essere attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/efficientip_ddi: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: EFFICIENTIP_DDI raw_log_field: body ingestion_labels: env: production source: solidserver service: pipelines: logs/efficientip_to_chronicle: receivers: - udplog exporters: - chronicle/efficientip_ddiSostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: impostalo su0.0.0.0:514per ascoltare tutte le interfacce sulla porta UDP 514.- Per le implementazioni non root di Linux, utilizza la porta
1514o versioni successive. - Assicurati che la porta corrisponda alla configurazione in SOLIDserver.
- Per le implementazioni non root di Linux, utilizza la porta
Configurazione dell'esportatore:
creds_file_path: Percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: sostituisciYOUR_CUSTOMER_IDcon l'ID cliente del passaggio precedente.endpoint: Endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
log_type: impostato suEFFICIENTIP_DDI(è richiesta la corrispondenza esatta).ingestion_labels: etichette facoltative per classificare i log (personalizza in base alle esigenze).
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux:
Esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows:
Scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
- Premi
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configura l'inoltro di syslog EfficientIP DDI
- Accedi alla console web EfficientIP SOLIDserver.
- Nel menu di navigazione a sinistra, fai clic su Amministrazione.
- Nella sezione Monitoraggio, fai clic su Configurazione.
- Nel menu, fai clic su + Aggiungi.
- Nell'elenco Servizi, seleziona i seguenti servizi: named (per i log DNS)
- Nel campo Server di destinazione, inserisci l'indirizzo IP e la porta dell'host dell'agente Bindplane nel formato
<ip-address>:<port>.- Esempio:
192.168.1.100:514 - Se utilizzi una porta non standard su Linux, specifica la porta di conseguenza (ad esempio,
192.168.1.100:1514)
- Esempio:
Fai clic su Ok per salvare la configurazione.
Verificare l'inoltro dei log
- Controlla i log dell'agente Bindplane per verificare che i log vengano ricevuti:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
- Cerca voci di log contenenti eventi di query e risposta DNS da SOLIDserver.
- Accedi alla console Google SecOps e verifica che i log EfficientIP DDI vengano visualizzati nella pagina Eventi.
Tipi di log supportati
Questa integrazione raccoglie i seguenti tipi di log da EfficientIP SOLIDserver:
- Log delle query DNS: query DNS client con tipo di query, nome di dominio e IP client
- Log delle risposte DNS: risposte DNS con record di risposta, TTL e codici di risposta
- Log DHCP: operazioni DHCP, tra cui DISCOVER, OFFER, REQUEST, ACK, NAK, RELEASE e INFORM
- Log di DNS Guardian: eventi di sicurezza, tra cui rilevamento di comportamenti sospetti, attivazione/disattivazione di trigger
- Log di trasferimento di zona DNS: operazioni e notifiche di trasferimento di zona
- Log degli errori DNS: errori di formato, SERVFAIL, REFUSED e altri errori DNS
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| ip_version | additional.fields | Unito come etichetta con la chiave "ip_version" se non è vuoto |
| message_size | additional.fields | Unito come etichetta con la chiave "message_size" se non è vuoto |
| domain_name | additional.fields | Unito come etichetta con la chiave "domain_name" se non è vuoto |
| N/D | intermediario | Unito dall'oggetto intermedio |
| descrizione | metadata.description | Valore copiato direttamente se non è vuoto |
| msg2 | metadata.description | Impostato su msg2 se event_type è GENERIC_EVENT e la descrizione è vuota |
| su_cmd | metadata.event_type | Imposta su "PROCESS_OPEN" se su_cmd è "sudo" |
| activity_type | metadata.event_type | Impostato su "NETWORK_DNS" se activity_type corrisponde a dns e has_dns_questions è true |
| messaggio | metadata.event_type | Imposta su "NETWORK_DHCP" se il messaggio corrisponde a DHCP |
| inner_message | metadata.event_type | Impostato su "NETWORK_UNCATEGORIZED" se inner_message corrisponde a pattern specifici e has_principal e has_target sono true |
| di diffusione | metadata.event_type | Imposta "NETWORK_DNS" se il processo è "named" e has_dns_questions è true; imposta "STATUS_UPDATE" se il processo è "named" e has_principal è true; imposta "GENERIC_EVENT" se il processo è "named"; imposta "NETWORK_DHCP" se il processo è "dhcpd" |
| PWD | metadata.event_type | Impostato su "PROCESS_OPEN" se PWD non è vuoto e has_target o has_principal è true |
| activity_type | metadata.product_event_type | Valore copiato direttamente |
| N/D | metadata.vendor_name | Imposta su "EFFICIENTIP_DDI" |
| N/D | metadata.product_name | Imposta "EFFICIENTIP_DDI DHCP" |
| activity_type | network.application_protocol | Imposta su "DNS" se activity_type corrisponde a dns e has_dns_questions è true |
| messaggio | network.application_protocol | Imposta su "DHCP" se il messaggio corrisponde a DHCP |
| di diffusione | network.application_protocol | Impostato su "DNS" se il processo è "named"; impostato su "DHCP" se il processo è "dhcpd" |
| src_mac | network.dhcp.chaddr | Valore copiato direttamente se il processo è "dhcpd" |
| src_ip | network.dhcp.ciaddr | Valore copiato direttamente se dhcp_info è "REQUEST" |
| giaddr | network.dhcp.giaddr | Valore copiato direttamente |
| dhcp_info | network.dhcp.opcode | Imposta su "BOOTREQUEST" se dhcp_info è "INFORM", "DISCOVER" o "REQUEST"; imposta su "BOOTREPLY" se dhcp_info è "OFFER" o "ACK" |
| siaddr | network.dhcp.siaddr | Valore copiato direttamente |
| transaction_id | network.dhcp.transaction_id | Valore convertito in uinteger se non è vuoto o "0" |
| dhcp_info | network.dhcp.type | Imposta su "INFORM" se dhcp_info è "INFORM"; imposta su "DISCOVER" se "DISCOVER"; imposta su "OFFER" se "OFFER"; imposta su "REQUEST" se "REQUEST"; imposta su "ACK" se "PACK" |
| yiaddr | network.dhcp.yiaddr | Valore copiato direttamente |
| src_ip | network.dhcp.yiaddr | Impostato su src_ip se il processo è "dhcpd" e yiaddr è vuoto |
| answer_rrs | network.dns.answers | Unito dall'oggetto risposta per ogni rd in answer_rrs |
| N/D | network.dns.questions | Unito dall'oggetto domande se has_dns_questions è true |
| rcode | network.dns.response_code | Valore convertito in uinteger |
| response_code | network.dns.response_code | Valore mappato al codice numerico e convertito in uinteger |
| trasporto | network.ip_protocol | Valore convertito in maiuscolo se corrisponde a udp o tcp |
| osservatore | observer.ip | Valore convertito in ipaddress |
| su_cmd | principal.application | Valore copiato direttamente se su_cmd è "sudo" |
| di diffusione | principal.application | Impostato per l'elaborazione se il processo è "named" o "dhcpd" |
| host | principal.asset.hostname | Valore copiato direttamente se non è vuoto |
| nome host | principal.asset.hostname | Il valore viene copiato direttamente se non è vuoto e l'host è vuoto |
| src_ip | principal.asset.ip | Valore copiato direttamente |
| asset_id | principal.asset_id | Concatenato come "ID:" + asset_id |
| host | principal.hostname | Valore copiato direttamente se non è vuoto |
| nome host | principal.hostname | Il valore viene copiato direttamente se non è vuoto e l'host è vuoto |
| domain_name | principal.hostname | Valore copiato direttamente se la descrizione contiene il nome host e l'host/il nome host sono vuoti |
| src_ip | principal.ip | Valore copiato direttamente se la conversione in ipaddress ha esito positivo; estratto dalla descrizione se src_ip è vuoto |
| src_mac | principal.mac | Valore copiato direttamente |
| src_port | principal.port | Valore convertito in numero intero |
| process_id | principal.process.pid | Valore copiato direttamente |
| source_user | principal.user.userid | Valore copiato direttamente |
| N/D | security_result | Unito da sec_result |
| dst_ip | target.asset.ip | Valore copiato direttamente |
| file_path | target.file.full_path | Valore copiato direttamente |
| dst_ip | target.hostname | Valore copiato direttamente se non è un indirizzo IP valido |
| host | target.hostname | Valore copiato direttamente se inner_message corrisponde a pattern specifici |
| dst_ip | target.ip | Valore copiato direttamente |
| dst_port | target.port | Valore convertito in numero intero |
| target_cmd_line | target.process.command_line | Valore copiato direttamente |
| target_user | target.user.userid | Valore copiato direttamente |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.