Collecter les journaux Hitachi Content Platform
Ce document explique comment ingérer des journaux Hitachi Content Platform dans Google Security Operations à l'aide de Bindplane.
Hitachi Content Platform (HCP) est un système de stockage d'objets distribué conçu pour prendre en charge les dépôts volumineux et en pleine croissance de données à contenu fixe. HCP fournit un stockage sécurisé avec des fonctionnalités telles que la protection des données, la conservation de la conformité, la gestion des versions et l'accès multiprotocole via les API REST, NFS, CIFS et WebDAV. La plate-forme prend en charge la multitenancy avec l'isolation des espaces de noms et inclut des fonctionnalités complètes de surveillance et de journalisation du système.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Connectivité réseau entre l'agent Bindplane et Hitachi Content Platform
- Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Compte utilisateur au niveau du système avec un rôle d'administrateur ou de sécurité dans HCP. Le rôle de surveillance ou de conformité peut afficher la page Syslog, mais ne peut pas configurer la journalisation syslog ni tester les connexions.
- Accès à la console de gestion du système HCP
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM > Profil.
- Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collector
Le service doit s'afficher comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
- Ouvrez un terminal avec des droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collector
Le service doit s'afficher comme active (running) (actif (en cours d'exécution)).
Ressources d'installation supplémentaires
Pour obtenir des options d'installation supplémentaires et des informations sur le dépannage, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifiez le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hcp: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: HITACHI_CLOUD_PLATFORM raw_log_field: body ingestion_labels: env: production service: pipelines: logs/hcp_to_chronicle: receivers: - udplog exporters: - chronicle/hcp
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
- Le récepteur est configuré en tant que
udplogpour écouter les messages syslog UDP sur le port 514. listen_address: "0.0.0.0:514"écoute sur toutes les interfaces du port 51. Si le port 514 nécessite des droits root sur Linux, utilisez plutôt le port 1514 et configurez HCP pour qu'il envoie les données à ce port.
- Le récepteur est configuré en tant que
Configuration de l'exportateur :
creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: remplacezYOUR_CUSTOMER_IDpar l'ID client de l'étape précédente.endpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe:
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
log_type: définissez la valeur surHITACHI_CLOUD_PLATFORMexactement comme indiqué.ingestion_labels: libellés facultatifs au format YAML (par exemple,env: production).
Enregistrez le fichier de configuration.
Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur Fichier > Enregistrer
Redémarrez l'agent Bindplane pour appliquer les modifications
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
Invite de commandes ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Recherchez observIQ OpenTelemetry Collector.
Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Appuyez sur
Configurer le transfert Syslog Hitachi Content Platform
- Connectez-vous à la console de gestion du système HCP à l'aide d'un compte disposant d'un rôle d'administrateur ou de sécurité.
- Dans le menu de premier niveau, sélectionnez Monitoring > Syslog (Surveillance > Syslog).
- Dans le champ Syslog Server IP Addresses (Adresses IP du serveur Syslog), saisissez l'adresse IP de l'hôte de l'agent Bindplane, suivie éventuellement d'un signe deux-points et d'un numéro de port (par exemple,
192.168.1.100:514ou192.168.1.100:1514). Si vous omettez le numéro de port, HCP utilise le port 514 par défaut. - Cliquez sur Add (Ajouter). L'adresse IP spécifiée est déplacée dans la liste sous le champ.
- Dans le champ Send log messages at this level or higher (Envoyer les messages de journalisation à ce niveau ou à un niveau supérieur), sélectionnez le niveau de gravité des messages à envoyer au serveur Syslog :
- AVIS : envoie les messages dont le niveau de gravité est défini sur "Avis", "Avertissement" ou "Erreur".
- AVERTISSEMENT : envoie les messages dont le niveau de gravité est défini sur "Avertissement" ou "Erreur".
- ERROR (ERREUR) : envoie uniquement les messages dont le niveau de gravité est défini sur "Erreur".
- Dans le champ HTTP access Facility (Fonctionnalité d'accès HTTP), sélectionnez la fonctionnalité locale Syslog vers laquelle diriger les messages de journalisation de l'accès HTTP. Les options sont local0 à local7.
- Pour inclure les messages de journalisation concernant les événements d'accès aux données basés sur HTTP, sélectionnez Send log messages for HTTP-based data access requests (Envoyer les messages de journalisation pour les requêtes d'accès aux données basées sur HTTP).
- Dans le champ MAPI access Facility (Fonctionnalité d'accès MAPI), sélectionnez la fonctionnalité locale Syslog vers laquelle diriger les messages de journalisation de l'API de gestion. Les options sont local0 à local7.
- Pour inclure les messages de journalisation concernant les événements de requête de l'API de gestion, sélectionnez Send log messages for management API requests (Envoyer les messages de journalisation pour les requêtes de l'API de gestion).
- Pour inclure les messages de journalisation concernant les événements de sécurité (tentatives de connexion à la console de gestion du système avec un nom d'utilisateur non valide), sélectionnez l'option permettant d'envoyer les événements de sécurité, si elle est disponible.
- Cliquez sur Update Settings (Mettre à jour les paramètres) pour enregistrer la configuration.
Pour tester la connexion, cliquez sur Test (Tester) sur la page Syslog. HCP envoie un message de test avec le niveau de gravité "Avis" au serveur Syslog. Consultez les journaux de l'agent Bindplane pour vérifier que le message a été reçu.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| host_name | intermediary.hostname | Nom d'hôte de l'appareil intermédiaire |
| event_type | metadata.event_type | Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION) |
| product_event | metadata.product_event_type | Type d'événement spécifique au produit |
| network.application_protocol | Protocole d'application utilisé (par exemple, HTTP, HTTPS) | |
| http_method | network.http.method | Méthode HTTP (par exemple, GET, POST) |
| url | network.http.referral_url | URL de provenance pour les requêtes HTTP |
| response_code | network.http.response_code | Code de réponse HTTP |
| src_ip | principal.ip | Adresse IP source de la connexion |
| metadata.product_name | Nom du produit | |
| metadata.vendor_name | Nom du fournisseur/de l'entreprise |
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.