Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Hitachi Content Platform

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Hitachi Content Platform in Google Security Operations utilizzando Bindplane.

Hitachi Content Platform (HCP) è un sistema di archiviazione di oggetti distribuito progettato per supportare repository di dati a contenuti fissi di grandi dimensioni e in crescita. HCP fornisce un'archiviazione sicura con funzionalità che includono protezione dei dati, conservazione della conformità, controllo delle versioni e accesso multi-protocollo tramite API REST, NFS, CIFS e WebDAV. La piattaforma supporta il multi-tenancy con l'isolamento dello spazio dei nomi e include funzionalità complete di monitoraggio e logging del sistema.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Hitachi Content Platform
Se esegui l'agente dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Account utente a livello di sistema con ruolo di amministratore o di sicurezza in HCP. Il ruolo di monitoraggio o conformità può visualizzare la pagina Syslog, ma non può configurare la registrazione di syslog o testare le connessioni
Accesso alla console di gestione del sistema HCP

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console di Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente di Google SecOps

Accedi alla console di Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- Il ricevitore è configurato come udplog per ascoltare i messaggi syslog UDP sulla porta 514.
- listen_address: "0.0.0.0:514" ascolta su tutte le interfacce sulla porta 51. Se la porta 514 richiede privilegi di root su Linux, utilizza la porta 1514 e configura HCP per l'invio a questa porta.
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente del passaggio precedente.
- endpoint: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.
- log_type: imposta HITACHI_CLOUD_PLATFORM esattamente come mostrato.
- ingestion_labels: etichette facoltative in formato YAML (ad esempio, env: production).

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
  sudo systemctl status observiq-otel-collector
```
2. Controlla i log per verificare la presenza di errori:
```
  sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per verificare la presenza di errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog di Hitachi Content Platform

Accedi alla console di gestione del sistema HCP utilizzando un account con ruolo di amministratore o di sicurezza.
Nel menu di primo livello, seleziona Monitoraggio > Syslog.
Nel campo Indirizzi IP del server Syslog, inserisci l'indirizzo IP dell'host dell'agente Bindplane, seguito facoltativamente da due punti e dal numero di porta (ad esempio, 192.168.1.100:514 o 192.168.1.100:1514). Se ometti il numero di porta, HCP utilizza la porta 514 per impostazione predefinita.
Fai clic su Aggiungi. L'indirizzo IP specificato viene spostato nell'elenco sotto il campo.
Nel campo Invia messaggi di log a questo livello o superiore, seleziona il livello di gravità dei messaggi da inviare al server syslog:
- AVVISO: invia messaggi con un livello di gravità di avviso, avviso o errore.
- AVVISO: invia messaggi con un livello di gravità di avviso o errore.
- ERROR: invia solo messaggi con un livello di gravità di errore.
Nel campo Struttura di accesso HTTP, seleziona la struttura locale di syslog a cui indirizzare i messaggi di log di accesso HTTP. Le opzioni sono local0 fino a local7.
Per includere i messaggi di log relativi agli eventi di accesso ai dati basati su HTTP, seleziona Invia messaggi di log per le richieste di accesso ai dati basate su HTTP.
Nel campo Struttura di accesso MAPI, seleziona la struttura locale di syslog a cui indirizzare i messaggi di log dell'API di gestione. Le opzioni sono local0 fino a local7.
Per includere i messaggi di log relativi agli eventi di richiesta dell'API di gestione, seleziona Invia messaggi di log per le richieste dell'API di gestione.
Per includere i messaggi di log relativi agli eventi di sicurezza (tentativi di accesso alla console di gestione del sistema con un nome utente non valido), seleziona l'opzione per inviare gli eventi di sicurezza, se disponibile.
Fai clic su Aggiorna impostazioni per salvare la configurazione.
Per testare la connessione, fai clic su Test nella pagina Syslog. HCP invia un messaggio di test con livello di gravità Avviso al server syslog. Controlla i log dell'agente Bindplane per verificare che il messaggio sia stato ricevuto.

Nota: ogni indirizzo IP del server syslog deve essere instradabile dalla rete di sistema HCP. Quando specifichi più server, HCP invia i messaggi di log a tutti i server specificati.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
host_name	intermediary.hostname	Nome host del dispositivo intermedio
event_type	metadata.event_type	Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
product_event	metadata.product_event_type	Tipo di evento specifico del prodotto
	network.application_protocol	Protocollo applicativo utilizzato (ad es. HTTP, HTTPS)
http_method	network.http.method	Metodo HTTP (ad es. GET, POST)
url	network.http.referral_url	URL di riferimento per le richieste HTTP
response_code	network.http.response_code	Codice di risposta HTTP
src_ip	principal.ip	Indirizzo IP di origine della connessione
	metadata.product_name	Nome del prodotto
	metadata.vendor_name	Nome del fornitore/dell'azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.