Fortra Powertech SIEM Agent-Logs erfassen

In diesem Leitfaden wird beschrieben, wie Sie Logs des Fortra Powertech SIEM Agent for IBM i mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Der Powertech SIEM-Agent für IBM i (früher Powertech Interact) überwacht IBM i-Journale und ‑Nachrichtenwarteschlangen auf kritische Systemmeldungen und Auditeinträge, überträgt die Meldungen über UDP, TCP, TLS, Nachrichtenwarteschlange oder Streamdatei (IFS) und formatiert den MSG-Teil des Syslog-Pakets gemäß Micro Focus ArcSight Common Event Format (CEF) v25.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Google SecOps-Instanz.
• Windows Server 2016 oder höher oder Linux-Host mit systemd.
• Netzwerkverbindung zwischen dem Bindplane-Agent und dem IBM i-System, auf dem der Powertech SIEM-Agent ausgeführt wird.
• Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
• Privilegierter Zugriff auf das IBM i-System mit der Berechtigung, den Powertech SIEM-Agent zu konfigurieren (Nutzerprofil mit der Sonderberechtigung *ALLOBJ oder Mitglied der Berechtigungsliste PTADMIN).
• Der Powertech SIEM Agent für IBM i ist auf dem IBM i-System installiert und lizenziert.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
3. Klicken Sie auf Herunterladen, um die Datei zur Authentifizierung der Aufnahme herunterzuladen.

4. Speichern Sie die Datei sicher auf dem System, auf dem der Bindplane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > Profile auf.

3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. Warten Sie, bis die Installation abgeschlossen ist.

4. Überprüfen Sie die Installation mit folgendem Befehl:

   sc query observiq-otel-collector
   

   Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. Warten Sie, bis die Installation abgeschlossen ist.

4. Überprüfen Sie die Installation mit folgendem Befehl:

   sudo systemctl status observiq-otel-collector
   

   Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
    listen_address: "0.0.0.0:514"

exporters:
    chronicle/powertech_siem:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: FORTRA_POWERTECH_SIEM_AGENT
    raw_log_field: body
    ingestion_labels:
        env: production

service:
    pipelines:
    logs/powertech_to_chronicle:
        receivers:
        - udplog
        exporters:
        - chronicle/powertech_siem

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:

• listen_address: IP-Adresse und Port, auf dem gelauscht werden soll. Verwenden Sie 0.0.0.0:514, um an allen Schnittstellen auf Port 514 zu lauschen, oder ändern Sie den Port in 1514 oder einen anderen Wert, wenn für Port 514 Root-Berechtigungen erforderlich sind oder er bereits verwendet wird.

Exporter-Konfiguration:

• creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
  • Linux: /etc/bindplane-agent/ingestion-auth.json
  • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
• YOUR_CUSTOMER_ID: Ersetzen Sie diesen Wert durch Ihre Google SecOps-Kundennummer.
• endpoint: Regionale Endpunkt-URL. Verwenden Sie den entsprechenden Endpunkt für Ihre Google SecOps-Instanz:
  • USA: malachiteingestion-pa.googleapis.com
  • Europa: europe-malachiteingestion-pa.googleapis.com
  • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
• ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production, source: ibm_i).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

• Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
• Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Linux

  sudo systemctl restart observiq-otel-collector
  

  1. Prüfen Sie, ob der Dienst ausgeführt wird:

     sudo systemctl status observiq-otel-collector
     

  2. Logs auf Fehler prüfen:

     sudo journalctl -u observiq-otel-collector -f
     

• Windows

  Wählen Sie eine der folgenden Optionen aus:

  • So verwenden Sie die Eingabeaufforderung oder PowerShell als Administrator:

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • Services Console verwenden:

    1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
    2. Suchen Sie nach observIQ OpenTelemetry Collector.

    3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    4. Prüfen Sie, ob der Dienst ausgeführt wird:

       sc query observiq-otel-collector
       

    5. Logs auf Fehler prüfen:

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Syslog-Weiterleitung für den Powertech SIEM-Agent konfigurieren

Geben Sie in der IBM i-Befehlszeile POWERTECH ein, um das Powertech-Hauptmenü zu öffnen, und wählen Sie dann Option 6 aus, um das SIEM Agent-Hauptmenü zu öffnen.

Syslog-Format konfigurieren

Wählen Sie im SIEM Agent-Hauptmenü Option 2 aus, um den Bereich „Mit Formaten arbeiten“ zu öffnen. Die Formate CEF, JSON, LEEF, MODERN und SYSLOG sind standardmäßig enthalten.

1. Geben Sie neben SYSLOG die Zahl 2 ein und drücken Sie die Eingabetaste.
2. Geben Sie im Feld „Nachrichtenstil“ *SYSLOG ein.
3. Geben Sie im Feld „Headerspezifikation“ RFC3164 ein.
4. Achten Sie darauf, dass „Use Header Format Compatibility“ (Kompatibilität des Headerformats verwenden) auf „Y“ festgelegt ist, und speichern Sie die Konfiguration.

5. Drücken Sie zweimal die Taste F3, um zum Hauptmenü zurückzukehren.

Netzwerkausgabe erstellen

Wählen Sie im Hauptmenü die Option 3 „Work with Outputs“ (Mit Ausgaben arbeiten) aus und drücken Sie dann F6, um eine neue Ausgabe zu erstellen.

1. Geben Sie die folgenden Optionen ein:
   • Name: CHRONICLE (oder ein aussagekräftiger Name)
   • Beschreibung: Chronicle Bindplane-Ausgabe
   • Aktiv: 1
   • Format: SYSLOG
   • Typ: *NETWORK
2. Drücken Sie die Eingabetaste.
3. Geben Sie auf dem nächsten Bildschirm die folgenden Optionen ein:
   • Standort: Geben Sie die IP-Adresse des Computers ein, auf dem der Bindplane-Agent installiert ist.
   • Port: 514 (oder der im Bindplane-Agent konfigurierte Port)
   • Protokoll: UDP

4. Drücken Sie die Eingabetaste, um die Änderungen zu speichern, und dann F12, um das Fenster zu schließen.

Ausgabe an Ereignisquellen anhängen

Wählen Sie Option 1 „Work with Event Sources“ (Mit Ereignisquellen arbeiten) aus, geben Sie „2“ neben „AUDIT“ ein und drücken Sie die Eingabetaste.

1. Drücken Sie F8 (Maintain Outputs) und dann F6 (Attach), um die neu erstellte Ausgabe anzuhängen. Geben Sie neben CHRONICLE (oder Ihrem Ausgabenamen) „1“ ein und drücken Sie die Eingabetaste.
2. Drücken Sie F3, um zum Hauptmenü zurückzukehren.

Terminbeschreibungen aktivieren

Wählen Sie im Hauptmenü des SIEM-Agents die Option 1 aus und geben Sie dann 9 für eine Ereignisquelle ein. Der Bereich „Mit Ereignisbeschreibungen arbeiten“ wird angezeigt. Mit Option 6 können Sie die Ereignisse aktivieren, die verarbeitet werden sollen.

Konfigurationsänderungen übernehmen

Wählen Sie im Hauptmenü die Option 82, Work with Utilities (Mit Dienstprogrammen arbeiten), und dann die Option 1, Commit configuration changes (Konfigurationsänderungen übernehmen), aus.

SIEM-Agent-Monitoring starten

Wenn der SIEM-Agent noch nicht ausgeführt wird, starten Sie die Monitorjobs:

1. Geben Sie in der IBM i-Befehlszeile Folgendes ein:

   CALL PTSTARTUP
   

2. Mit diesen Befehlen werden die erforderlichen Überwachungsjobs für die zentrale Verwaltung und den SIEM-Agenten im PTWRKMGT-Subsystem gestartet.

Prüfen, ob Logs gesendet werden

1. Prüfen Sie, ob Logs beim BindPlane-Agent eingehen. Sehen Sie sich dazu die BindPlane-Agent-Logs an (siehe oben im Abschnitt zum Neustart).
2. Prüfen Sie, ob Logs in der Google SecOps Console angezeigt werden. Die erste Aufnahme kann 5 bis 10 Minuten dauern.
3. Optional können Sie eine Nachrichtenwarteschlange zuweisen, um alle vom SIEM-Agent gesendeten Nachrichten zu protokollieren und so zu bestätigen, welche Nachrichten gesendet wurden.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten