Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Hitachi Content Platform

Compatible con:

Google secops SIEM

En este documento, se explica cómo transferir registros de Hitachi Content Platform a Google Security Operations con Bindplane.

Hitachi Content Platform (HCP) es un sistema de almacenamiento de objetos distribuido diseñado para admitir repositorios grandes y en crecimiento de datos de contenido fijo. HCP proporciona almacenamiento seguro con funciones que incluyen protección de datos, retención de cumplimiento, control de versiones y acceso a varios protocolos a través de las APIs de REST, NFS, CIFS y WebDAV. La plataforma admite la arquitectura de múltiples usuarios con aislamiento de espacio de nombres e incluye capacidades integrales de supervisión y registro del sistema.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o un host de Linux con systemd
Conectividad de red entre el agente de Bindplane y Hitachi Content Platform
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane
Cuenta de usuario a nivel del sistema con rol de administrador o de seguridad en HCP (el rol de supervisión o cumplimiento puede ver la página de Syslog, pero no puede configurar el registro de syslog ni probar las conexiones)
Acceso a la Consola de administración del sistema de HCP

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```

El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```

El servicio debería mostrarse como active (running).

Recursos de instalación adicionales

Para obtener opciones de instalación adicionales y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de Bindplane para transferir syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- El receptor se configura como udplog para detectar mensajes de syslog UDP en el puerto 514.
- listen_address: "0.0.0.0:514" detecta todas las interfaces en el puerto 51. Si el puerto 514 requiere privilegios raíz en Linux, usa el puerto 1514 en su lugar y configura HCP para que envíe a ese puerto.
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Reemplaza YOUR_CUSTOMER_ID por el ID de cliente del paso anterior.
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener una lista completa.
- log_type: Configura HITACHI_CLOUD_PLATFORM exactamente como se muestra.
- ingestion_labels: Etiquetas opcionales en formato YAML (por ejemplo, env: production).

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
  sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
  sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de servicios:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de syslog de Hitachi Content Platform

Accede a la Consola de administración del sistema de HCP con una cuenta con rol de administrador o de seguridad.
En el menú de nivel superior, selecciona Monitoring > Syslog.
En el campo Syslog Server IP Addresses, ingresa la dirección IP del host del agente de Bindplane, seguida de dos puntos y un número de puerto (por ejemplo, 192.168.1.100:514 o 192.168.1.100:1514). Si omites el número de puerto, HCP usa el puerto 514 de forma predeterminada.
Haz clic en Agregar. La dirección IP especificada se mueve a la lista debajo del campo.
En el campo Send log messages at this level or higher, selecciona el nivel de gravedad de los mensajes que se enviarán al servidor de syslog:
- NOTICE: Envía mensajes con un nivel de gravedad de Aviso, Advertencia o Error.
- ADVERTENCIA: Envía mensajes con un nivel de gravedad de Advertencia o Error.
- ERROR: Envía solo mensajes con un nivel de gravedad de Error.
En el campo HTTP access Facility, selecciona la instalación local de syslog a la que se dirigirán los mensajes de registro de acceso HTTP. Las opciones son local0 a local7.
Para incluir mensajes de registro sobre eventos de acceso a datos basados en HTTP, selecciona Send log messages for HTTP-based data access requests.
En el campo MAPI access Facility, selecciona la instalación local de syslog a la que se dirigirán los mensajes de registro de la API de administración. Las opciones son local0 a local7.
Para incluir mensajes de registro sobre eventos de solicitud de la API de administración, selecciona Send log messages for management API requests.
Para incluir mensajes de registro sobre eventos de seguridad (intentos de acceder a la Consola de administración del sistema con un nombre de usuario no válido), selecciona la opción para enviar eventos de seguridad si está disponible.
Haz clic en Update Settings para guardar la configuración.
Para probar la conexión, haz clic en Test en la página de Syslog. HCP envía un mensaje de prueba con el nivel de gravedad Aviso al servidor de syslog. Revisa los registros del agente de Bindplane para verificar que se haya recibido el mensaje.

Nota: Se debe poder enrutar cada dirección IP del servidor de syslog desde la red del sistema HCP. Cuando especificas varios servidores, HCP envía mensajes de registro a todos los servidores especificados.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
host_name	intermediary.hostname	Nombre de host del dispositivo intermediario
event_type	metadata.event_type	Tipo de evento (p.ej., USER_LOGIN, NETWORK_CONNECTION)
product_event	metadata.product_event_type	Tipo de evento específico del producto
	network.application_protocol	Protocolo de aplicación utilizado (p.ej., HTTP, HTTPS)
http_method	network.http.method	Método HTTP (p.ej., GET, POST)
url	network.http.referral_url	URL de referencia para solicitudes HTTP
response_code	network.http.response_code	Código de respuesta HTTP
src_ip	principal.ip	Dirección IP de origen de la conexión
	metadata.product_name	Nombre del producto
	metadata.vendor_name	Nombre del proveedor o de la empresa

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.