Entrust nShield HSM-Audit-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Entrust nShield HSM-Audit-Logs mit Bindplane in Google Security Operations aufnehmen.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Ein Windows 2016- oder höher- oder Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Verwaltungskonsole des Entrust nShield-HSM
- Eine initialisierte Security World mit der Möglichkeit zur Audit-Protokollierung
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # nShield HSM only supports UDP for audit logs listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Use ENTRUST_HSM as the log type log_type: 'ENTRUST_HSM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog-Weiterleitung auf Entrust nShield HSM konfigurieren
Die Konfigurationsmethode hängt von Ihrem nShield HSM-Bereitstellungsmodell ab. Das Audit-Logging muss beim Erstellen einer Security World oder beim Einrichten eines HSM in einer vorhandenen Security World aktiviert werden.
Option 1: Mit dem config-auditlogging-Dienstprogramm konfigurieren (empfohlen)
Führen Sie auf dem Clientcomputer, auf dem die Security World-Software installiert ist, den folgenden Befehl aus:
config-auditlogging --server <BINDPLANE_IP> --port 514 --enable-syslog- Ersetzen Sie
<BINDPLANE_IP>durch die IP-Adresse Ihres Bindplane-Agent-Hosts.
Die Konfigurationsänderungen werden in die hardserver-Konfigurationsdatei geschrieben.
- Ersetzen Sie
Starten Sie den Hardserver neu, damit die Änderungen übernommen werden:
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
Option 2: Über die hardserver-Konfigurationsdatei konfigurieren
- Bearbeiten Sie die hardserver-Konfigurationsdatei:
- Linux:
/opt/nfast/kmdata/config/config - Windows:
%NFAST_KMDATA%\config\config
- Linux:
Fügen Sie der Konfigurationsdatei die folgenden Einträge hinzu oder ändern Sie sie:
auditlog_addr=<BINDPLANE_IP> auditlog_port=514- Ersetzen Sie
<BINDPLANE_IP>durch die IP-Adresse Ihres Bindplane-Agent-Hosts.
- Ersetzen Sie
Speichern Sie die Konfigurationsdatei.
Starten Sie den Hardserver neu, damit die Änderungen übernommen werden:
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
Option 3: Für netzwerkgebundene HSMs (nShield Connect) konfigurieren
Bei netzwerkgebundenen HSMs können Sie die Konfiguration remote übertragen:
- Achten Sie darauf, dass das Pushen von Konfigurationen im RFS (Remote File System) aktiviert ist.
Kopieren Sie die HSM-Konfigurationsdatei:
cp /opt/nfast/kmdata/hsm-ESN/config/config /opt/nfast/kmdata/hsm-ESN/config/config.newBearbeiten Sie
config.new, um die Konfiguration für das Audit-Logging hinzuzufügen:[audit_logging] auditlog_addr=<BINDPLANE_IP> auditlog_port=514Übertragen Sie die Konfiguration per Push an das HSM:
cfg-pushnethsm --address=<HSM_IP> /opt/nfast/kmdata/hsm-ESN/config/config.new- Ersetzen Sie
<HSM_IP>durch die IP-Adresse Ihres nShield Connect-HSM.
- Ersetzen Sie
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten