Entrust nShield HSM の監査ログを収集する
このドキュメントでは、Bindplane を使用して Entrust nShield HSM 監査ログを Google Security Operations に取り込む方法について説明します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Entrust nShield HSM 管理コンソールへの特権アクセス
- 監査ロギング機能を備えた初期化済みの Security World
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # nShield HSM only supports UDP for audit logs listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Use ENTRUST_HSM as the log type log_type: 'ENTRUST_HSM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Entrust nShield HSM で Syslog 転送を構成する
構成方法は、nShield HSM のデプロイモデルによって異なります。監査ロギングは、Security World の作成時、または既存の Security World に HSM を導入するときに有効にする必要があります。
オプション 1: config-auditlogging ユーティリティを使用して構成する(推奨)
Security World Software がインストールされているクライアント コンピュータで、次のコマンドを実行します。
config-auditlogging --server <BINDPLANE_IP> --port 514 --enable-syslog<BINDPLANE_IP>は、Bindplane エージェント ホストの IP アドレスに置き換えます。
構成の変更は、hardserver 構成ファイルに書き込まれます。
hardserver を再起動して変更を適用します。
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
オプション 2: hardserver 構成ファイルを使用して構成する
- ハードサーバーの構成ファイルを編集します。
- Linux:
/opt/nfast/kmdata/config/config - Windows:
%NFAST_KMDATA%\config\config
- Linux:
構成ファイルに次のエントリを追加または変更します。
auditlog_addr=<BINDPLANE_IP> auditlog_port=514<BINDPLANE_IP>は、Bindplane エージェント ホストの IP アドレスに置き換えます。
構成ファイルを保存します。
hardserver を再起動して変更を適用します。
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
オプション 3: ネットワーク接続 HSM(nShield Connect)を構成する
ネットワーク接続 HSM の場合は、構成をリモートでプッシュできます。
- RFS(リモート ファイル システム)で構成プッシュが有効になっていることを確認します。
HSM 構成ファイルをコピーします。
cp /opt/nfast/kmdata/hsm-ESN/config/config /opt/nfast/kmdata/hsm-ESN/config/config.newconfig.newを編集して、監査ロギング構成を追加します。[audit_logging] auditlog_addr=<BINDPLANE_IP> auditlog_port=514構成を HSM に push します。
cfg-pushnethsm --address=<HSM_IP> /opt/nfast/kmdata/hsm-ESN/config/config.new<HSM_IP>は、nShield Connect HSM の IP アドレスに置き換えます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。