Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Hitachi Content Platform-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Hitachi Content Platform-Logs mit Bindplane in Google Security Operations aufnehmen.

Hitachi Content Platform (HCP) ist ein verteiltes Objektspeichersystem, das für große, wachsende Repositories mit Daten mit festem Inhalt entwickelt wurde. HCP bietet sicheren Speicher mit Funktionen wie Datenschutz, Aufbewahrung zur Einhaltung von Vorschriften, Versionierung und Multi-Protokoll-Zugriff über REST APIs, NFS, CIFS und WebDAV. Die Plattform unterstützt Multi-Tenancy mit Namespace-Isolation und umfasst umfassende Systemüberwachungs- und Logging-Funktionen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und Hitachi Content Platform
Wenn Sie einen Proxy verwenden, prüfen Sie, ob die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Nutzerkonto auf Systemebene mit Administrator- oder Sicherheitsrolle in HCP. Mit der Rolle „Monitor“ oder „Compliance“ können Sie die Syslog-Seite aufrufen, aber keine Syslog-Protokollierung konfigurieren oder Verbindungen testen.
Zugriff auf die HCP System Management Console

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```

Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```

Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- Der Empfänger ist als udplog konfiguriert, um UDP-Syslog-Nachrichten auf Port 514 zu empfangen.
- listen_address: "0.0.0.0:514" überwacht alle Schnittstellen auf Port 51. Wenn für Port 514 unter Linux Root-Berechtigungen erforderlich sind, verwenden Sie stattdessen Port 1514 und konfigurieren Sie HCP so, dass Daten an diesen Port gesendet werden.
Exporter-Konfiguration :
- creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch die Kundennummer aus dem vorherigen Schritt.
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- log_type: Legen Sie genau wie angegeben HITACHI_CLOUD_PLATFORM fest.
- ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
  sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
  sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienste-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für Hitachi Content Platform konfigurieren

Melden Sie sich in der HCP System Management Console mit einem Konto mit Administrator- oder Sicherheitsrolle an.
Wählen Sie im Menü der obersten Ebene Monitoring > Syslog aus.
Geben Sie im Feld Syslog Server IP Addresses die IP-Adresse des Bindplane-Agent-Hosts ein, optional gefolgt von einem Doppelpunkt und der Portnummer (z. B. 192.168.1.100:514 oder 192.168.1.100:1514). Wenn Sie die Portnummer weglassen, verwendet HCP standardmäßig Port 514.
Klicken Sie auf Hinzufügen. Die angegebene IP-Adresse wird in die Liste unter dem Feld verschoben.
Wählen Sie im Feld Send log messages at this level or higher die Wichtigkeitsstufe der Nachrichten aus, die an den Syslog-Server gesendet werden sollen:
- NOTICE: Sendet Nachrichten mit der Wichtigkeitsstufe „Notice“, „Warning“ oder „Error“.
- WARNING: Sendet Nachrichten mit der Wichtigkeitsstufe „Warning“ oder „Error“.
- ERROR: Sendet nur Nachrichten mit der Wichtigkeitsstufe „Error“.
Wählen Sie im Feld HTTP access Facility die lokale Syslog-Einrichtung aus, an die HTTP-Zugriffsprotokollnachrichten gesendet werden sollen. Die Optionen sind local0 bis local7.
Wenn Sie Protokollnachrichten zu HTTP-basierten Datenzugriffsereignissen einbeziehen möchten, wählen Sie Send log messages for HTTP-based data access requests aus.
Wählen Sie im Feld MAPI access Facility die lokale Syslog-Einrichtung aus, an die Protokollnachrichten der Management API gesendet werden sollen. Die Optionen sind local0 bis local7.
Wenn Sie Protokollnachrichten zu Management API-Anfrageereignissen einbeziehen möchten, wählen Sie Send log messages for management API requests aus.
Wenn Sie Protokollnachrichten zu Sicherheitsereignissen (Versuche, sich mit einem ungültigen Nutzernamen in der System Management Console anzumelden) einbeziehen möchten, wählen Sie die Option zum Senden von Sicherheitsereignissen aus, falls verfügbar.
Klicken Sie auf Update Settings , um die Konfiguration zu speichern.
Klicken Sie auf der Syslog-Seite auf Test, um die Verbindung zu testen. HCP sendet eine Testnachricht mit der Wichtigkeitsstufe „Notice“ an den Syslog-Server. Prüfen Sie in den Bindplane-Agent-Logs, ob die Nachricht empfangen wurde.

Hinweis: Jede Syslog-Server-IP-Adresse muss über das HCP-Systemnetzwerk erreichbar sein. Wenn Sie mehrere Server angeben, sendet HCP Protokollnachrichten an alle angegebenen Server.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
host_name	intermediary.hostname	Hostname des Vermittlungsgeräts
event_type	metadata.event_type	Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
product_event	metadata.product_event_type	Produktspezifischer Ereignistyp
	network.application_protocol	Verwendetes Anwendungsprotokoll (z.B. HTTP, HTTPS)
http_method	network.http.method	HTTP-Methode (z.B. GET, POST)
url	network.http.referral_url	Verweis-URL für HTTP-Anfragen
response_code	network.http.response_code	HTTP-Antwortcode
src_ip	principal.ip	Quell-IP-Adresse der Verbindung
	metadata.product_name	Produktname
	metadata.vendor_name	Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten