Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux DNS ExtraHop

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux DNS ExtraHop dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les journaux au format JSON d'une chaîne de message brute, en gérant les données non JSON en supprimant l'événement. Il mappe ensuite des champs spécifiques du JSON extrait aux champs correspondants dans le schéma du modèle de données unifié (UDM), en convertissant les types de données et en gérant différentes structures de réponse DNS pour garantir une représentation cohérente.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Accès privilégié à ExtraHop DNS

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez l'ID client dans la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou Bloc-notes).
Modifiez le fichier config.yaml comme suit : yaml receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'EXTRAHOP_DNS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP si nécessaire dans votre infrastructure.
- Remplacez <customer_id> par l'ID client réel.
- Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog pour ExtraHop Open Data Stream (DNS)

Connectez-vous à ExtraHop Administration à l'aide de https://<extrahop-hostname-or-IP-address>/admin.

Accédez à System Configuration > Open Data Streams (Configuration système > Flux de données ouverts).
Cliquez sur Add Target (Ajouter une cible).
Dans le menu déroulant Target Type (Type de cible), sélectionnez Syslog.
Fournissez les informations de configuration suivantes :
- Name (Nom) : saisissez un nom unique pour identifier la cible.
- Host (Hôte) : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Protocol (Protocole) : sélectionnez UDP ou TCP , selon votre configuration Bindplane.
- (Facultatif) Sélectionnez Local Time (Heure locale) pour envoyer des informations syslog avec des horodatages dans le fuseau horaire local.
- Cliquez sur Test.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`ans.data`	network.dns.answers.data	Extrait du champ `data` dans le tableau `answers` du journal brut.
`ans.name`	network.dns.answers.name	Extrait du champ `name` dans le tableau `answers` du journal brut.
`ans.ttl`	network.dns.answers.ttl	Extrait du champ `ttl` dans le tableau `answers` du journal brut. Converti en `uinteger`.
`ans.typeNum`	network.dns.answers.type	Extrait du champ `typeNum` dans le tableau `answers` du journal brut. Converti en `uinteger`.
`ans_data`	network.dns.answers.data	Extrait du champ `ans_data` dans le journal brut lorsque le tableau `answers` n'est pas présent.
`ans_name`	network.dns.answers.name	Extrait du champ `ans_name` dans le journal brut lorsque le tableau `answers` n'est pas présent.
`ans_ttl`	network.dns.answers.ttl	Extrait du champ `ans_ttl` dans le journal brut lorsque le tableau `answers` n'est pas présent. Converti en `uinteger`.
`client_ip`	principal.ip	Extrait du champ `client_ip` dans le journal brut.
`dns_type`	network.dns.response	Si la valeur est "response", elle est définie sur "true". Sinon, elle n'est pas mappée. Converti en `boolean`.
`dst_ip`	target.ip	Extrait du champ `dst_ip` dans le journal brut.
`ip_or_host`	intermediary.hostname	Si `ip_or_host` n'est pas une adresse IP valide, il est mappé sur `intermediary.hostname`.
`ip_or_host`	intermediary.ip	Si `ip_or_host` est une adresse IP valide, il est mappé sur `intermediary.ip`.
`opcode`	network.dns.opcode	Extrait du champ `opcode` dans le journal brut. Mappé sur des valeurs numériques en fonction de la chaîne d'opcode (par exemple, "QUERY" -> 0). Converti en `uinteger`.
`qname`	network.dns.questions.name	Extrait du champ `qname` dans le journal brut.
`qtype`	network.dns.questions.type	Extrait du champ `qtype` dans le journal brut. Mappé sur des valeurs numériques en fonction de la chaîne de type d'enregistrement (par exemple, "A" -> 1). Converti en `uinteger`.
	metadata.event_type	Défini sur `NETWORK_DNS`.
	metadata.log_type	Défini sur `EXTRAHOP_DNS`.
	network.application_protocol	Défini sur `DNS`.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.