Raccogli i log dell'agente SIEM Fortra Powertech
Supportato in:
Google secops
SIEM
Questa guida spiega come importare i log dell'agente Fortra Powertech SIEM per IBM i in Google Security Operations utilizzando l'agente Bindplane.
Powertech SIEM Agent per IBM i (in precedenza Powertech Interact) monitora i journal e le code di messaggi di IBM i per i messaggi di sistema critici e le voci di controllo, trasmette i messaggi utilizzando UDP, TCP, TLS, la coda di messaggi o il file di flusso (IFS) e formatta la parte MSG del pacchetto syslog in conformità con il formato eventi comuni (CEF) v25 di Micro Focus ArcSight.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps.
- Windows Server 2016 o versioni successive oppure host Linux con systemd.
- Connettività di rete tra l'agente Bindplane e il sistema IBM i che esegue l'agente Powertech SIEM.
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso privilegiato al sistema IBM i con l'autorizzazione per configurare Powertech SIEM Agent (profilo utente con autorizzazione speciale *ALLOBJ o membro dell'elenco di autorizzazioni PTADMIN).
- Powertech SIEM Agent per IBM i installato e con licenza sul sistema IBM i.
Recuperare il file di autenticazione dell'importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agente di raccolta.
- Fai clic su Scarica per scaricare il file di autenticazione dell'importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo il comando:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yaml
Windows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:
receivers:
udplog:
listen_address: "0.0.0.0:514"
exporters:
chronicle/powertech_siem:
compression: gzip
creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
customer_id: 'YOUR_CUSTOMER_ID'
endpoint: malachiteingestion-pa.googleapis.com
log_type: FORTRA_POWERTECH_SIEM_AGENT
raw_log_field: body
ingestion_labels:
env: production
service:
pipelines:
logs/powertech_to_chronicle:
receivers:
- udplog
exporters:
- chronicle/powertech_siem
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: indirizzo IP e porta su cui ascoltare. Utilizza0.0.0.0:514per ascoltare su tutte le interfacce sulla porta 514 o modifica la porta in1514o un altro valore se la porta 514 richiede privilegi di root o è già in uso.
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: sostituisci con l'ID cliente Google SecOps.endpoint: l'URL dell'endpoint regionale. Utilizza l'endpoint appropriato per la tua istanza di Google SecOps:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
ingestion_labels: etichette facoltative in formato YAML (ad esempio,env: production,source: ibm_i).
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
Riavvia l'agente Bindplane per applicare le modifiche
Linux
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Windows
Scegli una delle seguenti opzioni:
Utilizzando il prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorUtilizzo della console Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configurare l'inoltro di syslog dell'agente SIEM Powertech
Nella riga di comando di IBM i, inserisci POWERTECH per aprire il menu principale di Powertech, quindi scegli l'opzione 6 per aprire il menu principale dell'agente SIEM.
Configurare il formato syslog
Nel menu principale dell'agente SIEM, scegli l'opzione 2 per aprire il riquadro Lavora con i formati. I formati CEF, JSON, LEEF, MODERN e SYSLOG sono inclusi per impostazione predefinita.
- Digita 2 accanto a SYSLOG e premi Invio.
- Nel campo Stile messaggio, digita *SYSLOG.
- Nel campo Specifica intestazione, digita RFC3164.
- Assicurati che l'opzione Utilizza compatibilità formato intestazione sia impostata su "Y" e salva la configurazione.
Premi F3 due volte per tornare al menu principale.
Crea un output di rete
Dal menu principale, scegli l'opzione 3 Work with Outputs (Lavora con gli output), quindi premi F6 per creare un nuovo output.
- Inserisci le seguenti opzioni:
- Nome: CHRONICLE (o un nome descrittivo)
- Descrizione: Output di Chronicle Bindplane
- Attivo: 1
- Formato: SYSLOG
- Tipo: *NETWORK
- Premi Invio.
- Nella schermata successiva, inserisci queste opzioni:
- Posizione: inserisci l'indirizzo IP della macchina su cui è installato l'agente Bindplane
- Porta: 514 (o la porta configurata nell'agente Bindplane)
- Protocollo: UDP
Premi Invio per salvare le modifiche, quindi premi F12 per chiudere la finestra.
Collega l'output alle origini eventi
Scegli l'opzione 1 Work with Event Sources (Utilizza le origini eventi), quindi digita 2 accanto a AUDIT e premi Invio.
- Premi F8 Maintain Outputs (Mantieni output), quindi premi F6 Attach (Allega) per allegare l'output appena creato. Digita 1 accanto a CHRONICLE (o al nome dell'output) e premi Invio.
- Premi F3 per tornare al menu principale.
Attivare le descrizioni degli eventi
Dal menu principale dell'agente SIEM, scegli l'opzione 1, quindi inserisci 9 per un'origine eventi. Viene visualizzato il riquadro Lavora con le descrizioni degli eventi. Utilizza l'opzione 6 per attivare gli eventi che vuoi elaborare.
Esegui il commit delle modifiche alla configurazione
Nel menu principale, scegli l'opzione 82, Work with Utilities (Utilizza utilità), quindi seleziona l'opzione 1, Commit configuration changes (Esegui commit delle modifiche alla configurazione).
Avvia il monitoraggio dell'agente SIEM
Se l'agente SIEM non è già in esecuzione, avvia i job di monitoraggio:
Dalla riga di comando di IBM i, inserisci:
CALL PTSTARTUPQuesti comandi avviano i job di monitoraggio richiesti di Central Administration e SIEM Agent nel sottosistema PTWRKMGT.
Verificare che i log vengano inviati
- Verifica che i log arrivino all'agente Bindplane esaminando i log dell'agente Bindplane (vedi la sezione Riavvio sopra per le posizioni dei log).
- Verifica che i log vengano visualizzati nella console Google SecOps (attendi 5-10 minuti per l'importazione iniziale).
- Se vuoi, assegna una coda di messaggi per registrare tutti i messaggi inviati dall'agente SIEM per confermare quali messaggi sono stati inviati.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| principal_ip | principal.ip | L'indirizzo IP del soggetto. |
| dst_ip | target.ip | L'indirizzo IP della destinazione. |
| sourceTranslatedAddress | principal.nat_ip | L'indirizzo IP NAT dell'entità. |
| destinationTranslatedAddress | target.nat_ip | L'indirizzo IP NAT della destinazione. |
| dvc | about.ip | L'indirizzo IP dell'asset. |
| deviceTranslatedAddress | about.nat_ip | L'indirizzo IP NAT dell'asset. |
| smac | principal.mac | L'indirizzo MAC del preside. |
| dmac | target.mac | L'indirizzo MAC della destinazione. |
| dvcmac | about.mac | L'indirizzo MAC dell'asset. |
| spriv | principal.user.attribute.roles | I ruoli associati all'utente principale. |
| dpriv | target.user.attribute.roles | I ruoli associati all'utente di destinazione. |
| oldFilePermission | src.resource.attribute.permissions | Le autorizzazioni della risorsa di origine. |
| filePermission | about.resource.attribute.permissions | Le autorizzazioni della risorsa. |
| gatto | security_result.category_details | Ulteriori dettagli sulla categoria dei risultati di sicurezza. |
| device_vendor, device_product, deviceExternalId | about.asset.asset_id | L'identificatore univoco della risorsa. |
| troppo complessi per essere capiti? | network.sent_bytes | Il numero di byte inviati nella connessione di rete. |
| in | network.received_bytes | Il numero di byte ricevuti nella connessione di rete. |
| fsize | about.file.size | Le dimensioni del file. |
| oldFileSize | src.file.size | Le dimensioni del file di origine. |
| destinationTranslatedPort | target.nat_port | La porta NAT del target. |
| dpt | target.port | Il numero di porta della destinazione. |
| sourceTranslatedPort | principal.nat_port | La porta NAT del principale. |
| spt | principal.port | Il numero di porta del principal. |
| rt | metadata.event_timestamp | Il timestamp in cui si è verificato l'evento. |
| gravità | security_result.severity | Il livello di gravità del risultato di sicurezza. |
| app_protocol_src | network.application_protocol | Il protocollo applicativo utilizzato nella connessione di rete. |
| proto | network.ip_protocol | Il protocollo IP utilizzato nella connessione di rete. |
| deviceDirection | network.direction | La direzione del traffico di rete. |
| atto | security_result.action | L'azione intrapresa dal sistema di sicurezza. |
| outcome, categoryOutcome, cs2 | security_result.action | L'azione intrapresa dal sistema di sicurezza. |
| msg_data_2 | security_result.description | Una descrizione del risultato di sicurezza. |
| msg | metadata.description | Una descrizione dell'evento. |
| destinationServiceName | target.application | L'applicazione associata al target. |
| dntdom | target.administrative_domain | Il dominio amministrativo del target. |
| oldFilePath | src.file.full_path | Il percorso completo del file di origine. |
| requestClientApplication | network.http.user_agent | La stringa dello user agent della richiesta HTTP. |
| requestMethod | network.http.method | Il metodo HTTP utilizzato nella richiesta. |
| filePath | about.file.full_path | Il percorso completo del file. |
| dvchost | about.hostname | Il nome host dell'asset. |
| deviceNtDomain | about.administrative_domain | Il dominio amministrativo della risorsa. |
| dvcpid | about.process.pid | L'ID processo dell'asset. |
| deviceProcessName | about.process.command_line | La riga di comando del processo sull'asset. |
| _hash | about.file.sha256 | L'hash SHA256 del file. |
| externalId | metadata.product_log_id | L'identificatore del log specifico del prodotto. |
| security_result.action_details | security_result.action_details | Ulteriori dettagli sull'azione di sicurezza. |
| device_version | metadata.product_version | La versione del prodotto che ha generato l'evento. |
| temp_dhost | target.hostname | Il nome host della destinazione. |
| richiesta | target.url | L'URL associato al target. |
| temp_duser | target.user.user_display_name | Il nome visualizzato dell'utente di destinazione. |
| temp_duid | target.user.userid | L'ID utente dell'utente di destinazione. |
| Device_name | principal.hostname | Il nome host dell'entità. |
| Nome unità | principal.hostname | Il nome host dell'entità. |
| Dominio | principal.administrative_domain | Il dominio amministrativo dell'entità. |
| Domene | principal.administrative_domain | Il dominio amministrativo dell'entità. |
| Group_name | principal.group.group_display_name | Il nome visualizzato del gruppo principale. |
| Gruppenavn | principal.group.group_display_name | Il nome visualizzato del gruppo principale. |
| Ricevuto, Mottatt | metadata.collected_timestamp | Il timestamp della raccolta dell'evento. |
| Generato, Generert | metadata.event_timestamp | Il timestamp in cui si è verificato l'evento. |
| Oggetto | about.process.command_line | La riga di comando del processo. |
| Emne | about.process.command_line | La riga di comando del processo. |
| Percorso | about.process.command_line | La riga di comando del processo. |
| Tipo | security_result.description | Una descrizione del risultato di sicurezza. |
| Scan_Type | security_result.description | Una descrizione del risultato di sicurezza. |
| Utente | target.user.userid | L'ID utente dell'utente di destinazione. |
| Bruker | target.user.userid | L'ID utente dell'utente di destinazione. |
| CustomerName | target.user.user_display_name | Il nome visualizzato dell'utente di destinazione. |
| File_name, Object, Objekt, Infected_Resource | target.process.file.full_path | Il percorso completo del file associato al processo di destinazione. |
| Action_Taken | security_result.action_details | Ulteriori dettagli sull'azione di sicurezza. |
| Spyware, Virus_Malware_Name, Unknown_Threat | security_result.threat_name | Il nome della minaccia rilevata. |
| spettro | principal.hostname | Il nome host dell'entità. |
| spettro | principal.ip | L'indirizzo IP del soggetto. |
| sntdom | principal.administrative_domain | Il dominio amministrativo dell'entità. |
| sourceServiceName | principal.application | L'applicazione associata all'entità. |
| spid | principal.process.pid | L'ID processo dell'entità. |
| sproc | principal.process.command_line | La riga di comando del processo principale. |
| suid | principal.user.userid | L'ID utente dell'utente principale. |
| suser | principal.user.user_display_name | Il nome visualizzato dell'utente principale. |
| dpid | target.process.pid | L'ID processo del processo di destinazione. |
| dproc | target.process.command_line | La riga di comando del processo di destinazione. |
| motivo | security_result.summary | Un riepilogo del risultato di sicurezza. |
| event_name, device_event_class_id | metadata.product_event_type | Il tipo di evento specifico del prodotto. |
| fileHash | about.file.sha256 | L'hash SHA256 del file. |
| about | about | Ulteriori informazioni sull'evento. |
| mwProfile | security_result.rule_name | Il nome della regola che ha attivato il risultato di sicurezza. |
| appcategory | security_result.summary | Un riepilogo del risultato di sicurezza. |
| Risultato | security_result.summary | Un riepilogo del risultato di sicurezza. |
| eventid | additional.fields | Campi aggiuntivi per l'evento. |
| eventId | additional.fields | Campi aggiuntivi per l'evento. |
| devicePayloadId | additional.fields | Campi aggiuntivi per l'evento. |
| fname | additional.fields | Campi aggiuntivi per l'evento. |
| cs1, cs1Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs2, cs2Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs3, cs3Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs4, cs4Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs5, cs5Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs6, cs6Label | additional.fields | Campi aggiuntivi per l'evento. |
| cs7, cs7Label | additional.fields | Campi aggiuntivi per l'evento. |
| flexString1, flexString1Label | additional.fields | Campi aggiuntivi per l'evento. |
| cn1, cn1Label | additional.fields | Campi aggiuntivi per l'evento. |
| cn2, cn2Label | additional.fields | Campi aggiuntivi per l'evento. |
| cn3, cn3Label | additional.fields | Campi aggiuntivi per l'evento. |
| cfp1, cfp1Label | additional.fields | Campi aggiuntivi per l'evento. |
| cfp2, cfp2Label | additional.fields | Campi aggiuntivi per l'evento. |
| cfp3, cfp3Label | additional.fields | Campi aggiuntivi per l'evento. |
| cfp4, cfp4Label | additional.fields | Campi aggiuntivi per l'evento. |
| Operazione | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| Operasjon | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| Autorizzazione | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| Tillatelse | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| Infection_Channel | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| IPv6_Address | target.ip | L'indirizzo IP della destinazione. |
| Resource_Type | target.resource.attribute.labels | Etichette per gli attributi della risorsa di destinazione. |
| Spyware_Grayware_Type | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| Threat_Probability | security_result.detection_fields | Campi utilizzati per il rilevamento delle minacce. |
| security_result | security_result | Il risultato di sicurezza dell'evento. |
| host | principal.hostname | Il nome host dell'entità. |
| operazione non riuscita | metadata.description | Una descrizione dell'evento. |
| modificato | metadata.description | Una descrizione dell'evento. |
| log_version | additional.fields | Campi aggiuntivi per l'evento. |
| cnt | additional.fields | Campi aggiuntivi per l'evento. |
| fileType | target.file.mime_type | Il tipo MIME del file di destinazione. |
| fname | target.file.names | I nomi dei file di destinazione. |
| ip | principal.ip | L'indirizzo IP del soggetto. |
| metadata.event_type | metadata.event_type | Il tipo di evento. |
| principal_hostname | principal.asset.hostname | Il nome host dell'asset principale. |
| principal_asset_hostname | principal.asset.hostname | Il nome host dell'asset principale. |
| target_hostname | target.asset.hostname | Il nome host dell'asset di destinazione. |
| target_asset_hostname | target.asset.hostname | Il nome host dell'asset di destinazione. |
| device_vendor | metadata.vendor_name | Il nome del fornitore del prodotto. |
| device_product | metadata.product_name | Il nome del prodotto. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.