Entrust nShield HSM 감사 로그 수집
이 문서에서는 Bindplane을 사용하여 Entrust nShield HSM 감사 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
systemd가 설치된 Windows 2016 이상 또는 Linux 호스트- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Entrust nShield HSM 관리 콘솔에 대한 권한 있는 액세스
- 감사 로깅 기능이 있는 초기화된 보안 월드
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # nShield HSM only supports UDP for audit logs listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Use ENTRUST_HSM as the log type log_type: 'ENTRUST_HSM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Entrust nShield HSM에서 Syslog 전달 구성
구성 방법은 nShield HSM 배포 모델에 따라 다릅니다. 감사 로깅은 보안 월드 생성 시 또는 기존 보안 월드에 HSM을 도입할 때 사용 설정해야 합니다.
옵션 1: config-auditlogging 유틸리티를 사용하여 구성 (권장)
보안 월드 소프트웨어가 설치된 클라이언트 컴퓨터에서 다음 명령어를 실행합니다.
config-auditlogging --server <BINDPLANE_IP> --port 514 --enable-syslog<BINDPLANE_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
구성 변경사항이 hardserver 구성 파일에 기록됩니다.
hardserver를 다시 시작하여 변경사항을 적용합니다.
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
옵션 2: hardserver 구성 파일을 통해 구성
- hardserver 구성 파일을 수정합니다.
- Linux:
/opt/nfast/kmdata/config/config - Windows:
%NFAST_KMDATA%\config\config
- Linux:
구성 파일에서 다음 항목을 추가하거나 수정합니다.
auditlog_addr=<BINDPLANE_IP> auditlog_port=514<BINDPLANE_IP>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
구성 파일을 저장합니다.
hardserver를 다시 시작하여 변경사항을 적용합니다.
- Linux:
/opt/nfast/sbin/init.d-ncipher restart - Windows:
net stop "nfast server" && net start "nfast server"
- Linux:
옵션 3: 네트워크 연결 HSM (nShield Connect) 구성
네트워크 연결 HSM의 경우 원격으로 구성을 푸시할 수 있습니다.
- RFS (원격 파일 시스템)에서 구성 푸시가 사용 설정되어 있는지 확인합니다.
HSM 구성 파일을 복사합니다.
cp /opt/nfast/kmdata/hsm-ESN/config/config /opt/nfast/kmdata/hsm-ESN/config/config.newconfig.new을 수정하여 감사 로깅 구성을 추가합니다.[audit_logging] auditlog_addr=<BINDPLANE_IP> auditlog_port=514구성을 HSM으로 푸시합니다.
cfg-pushnethsm --address=<HSM_IP> /opt/nfast/kmdata/hsm-ESN/config/config.new<HSM_IP>를 nShield Connect HSM의 IP 주소로 바꿉니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.