Mengumpulkan log audit HSM Entrust nShield

Dokumen ini menjelaskan cara menyerap log audit HSM Entrust nShield ke Google Security Operations menggunakan Bindplane.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps
• Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
• Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
• Akses istimewa ke konsol pengelolaan HSM Entrust nShield
• Security World yang diinisialisasi dengan kemampuan logging audit

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:

   1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
     udplog:
       # nShield HSM only supports UDP for audit logs
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Use ENTRUST_HSM as the log type
       log_type: 'ENTRUST_HSM'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
   • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
   • Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi penerusan Syslog di Entrust nShield HSM

Metode konfigurasi bergantung pada model deployment nShield HSM Anda. Pencatatan audit harus diaktifkan saat pembuatan Security World atau saat mengindoktrinasi HSM ke Security World yang ada.

Opsi 1: Mengonfigurasi menggunakan utilitas config-auditlogging (direkomendasikan)

1. Di komputer klien yang telah menginstal Security World Software, jalankan perintah berikut:

   config-auditlogging --server <BINDPLANE_IP> --port 514 --enable-syslog
   

   • Ganti <BINDPLANE_IP> dengan alamat IP host agen Bindplane Anda.

   Perubahan konfigurasi ditulis ke file konfigurasi hardserver.

2. Mulai ulang hardserver untuk menerapkan perubahan:

   • Linux: /opt/nfast/sbin/init.d-ncipher restart
   • Windows: net stop "nfast server" && net start "nfast server"

Opsi 2: Mengonfigurasi melalui file konfigurasi hardserver

1. Edit file konfigurasi hardserver:
   • Linux: /opt/nfast/kmdata/config/config
   • Windows: %NFAST_KMDATA%\config\config

2. Tambahkan atau ubah entri berikut dalam file konfigurasi:

   auditlog_addr=<BINDPLANE_IP>
   auditlog_port=514
   

   • Ganti <BINDPLANE_IP> dengan alamat IP host agen Bindplane Anda.

3. Simpan file konfigurasi.

4. Mulai ulang hardserver untuk menerapkan perubahan:

   • Linux: /opt/nfast/sbin/init.d-ncipher restart
   • Windows: net stop "nfast server" && net start "nfast server"

Opsi 3: Mengonfigurasi untuk HSM yang terhubung ke jaringan (nShield Connect)

Untuk HSM yang terhubung ke jaringan, Anda dapat melakukan push konfigurasi dari jarak jauh:

1. Pastikan push konfigurasi diaktifkan di RFS (Remote File System).

2. Salin file konfigurasi HSM:

   cp /opt/nfast/kmdata/hsm-ESN/config/config /opt/nfast/kmdata/hsm-ESN/config/config.new
   

3. Edit config.new untuk menambahkan konfigurasi logging audit:

   [audit_logging]
   auditlog_addr=<BINDPLANE_IP>
   auditlog_port=514
   

4. Kirim konfigurasi ke HSM:

   cfg-pushnethsm --address=<HSM_IP> /opt/nfast/kmdata/hsm-ESN/config/config.new
   

   • Ganti <HSM_IP> dengan alamat IP HSM nShield Connect Anda.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.