Coletar registros do Hitachi Content Platform
Este documento explica como ingerir registros do Hitachi Content Platform no Google Security Operations usando o Bindplane.
O Hitachi Content Platform (HCP) é um sistema de armazenamento de objetos distribuído projetado para oferecer suporte a repositórios grandes e crescentes de dados de conteúdo fixo. O HCP oferece armazenamento seguro com recursos como proteção de dados, retenção de conformidade, controle de versões e acesso multiprotocolo por APIs REST, NFS, CIFS e WebDAV. A plataforma oferece suporte a multitenância com isolamento de namespace e inclui recursos abrangentes de monitoramento e registro do sistema.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e o Hitachi Content Platform
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
- Conta de usuário no nível do sistema com função de administrador ou de segurança no HCP. A função de monitor ou conformidade pode acessar a página do Syslog, mas não pode configurar o registro do Syslog nem testar conexões
- Acesso ao console de gerenciamento do sistema HCP
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo com segurança no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID de cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collector
O serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collector
O serviço vai aparecer como ativo (em execução).
Recursos de instalação adicionais
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hcp: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: HITACHI_CLOUD_PLATFORM raw_log_field: body ingestion_labels: env: production service: pipelines: logs/hcp_to_chronicle: receivers: - udplog exporters: - chronicle/hcp
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor :
- O receptor é configurado como
udplogpara detectar mensagens do Syslog UDP na porta 514. listen_address: "0.0.0.0:514"detecta em todas as interfaces na porta 51. Se a porta 514 exigir privilégios de raiz no Linux, use a porta 1514 e configure o HCP para enviar a essa porta.
- O receptor é configurado como
Configuração do exportador :
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: substituaYOUR_CUSTOMER_IDpelo ID de cliente da etapa anterior.endpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte Endpoints regionais para uma lista completa.
- EUA:
log_type: defina comoHITACHI_CLOUD_PLATFORM, exatamente como mostrado.ingestion_labels: rótulos opcionais no formato YAML (por exemplo,env: production).
Salvar o arquivo de configuração
Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O, depoisEntereCtrl+X - Windows: clique em Arquivo > Salvar
Reiniciar o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o observIQ OpenTelemetry Collector.
Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o encaminhamento do Syslog do Hitachi Content Platform
- Faça login no console de gerenciamento do sistema HCP usando uma conta com papel de administrador ou de segurança.
- No menu de nível superior, selecione Monitoramento > Syslog.
- No campo Endereços IP do servidor Syslog, insira o endereço IP do host do agente do Bindplane, seguido opcionalmente por dois pontos e o número da porta (por exemplo,
192.168.1.100:514ou192.168.1.100:1514). Se você omitir o número da porta, o HCP usará a porta 514 por padrão. - Clique em Adicionar. O endereço IP especificado é movido para a lista abaixo do campo.
- No campo Enviar mensagens de registro neste nível ou superior, selecione o nível de gravidade das mensagens a serem enviadas ao servidor Syslog:
- AVISO: envia mensagens com um nível de gravidade de aviso, alerta ou erro.
- AVISO: envia mensagens com um nível de gravidade de aviso ou erro.
- ERRO: envia apenas mensagens com um nível de gravidade de erro.
- No campo Instalação de acesso HTTP, selecione a instalação local do Syslog para a qual direcionar mensagens de registro de acesso HTTP. As opções são local0 a local7.
- Para incluir mensagens de registro sobre eventos de acesso aos dados baseados em HTTP, selecione Enviar mensagens de registro para solicitações de acesso aos dados baseadas em HTTP.
- No campo Instalação de acesso MAPI, selecione a instalação local do Syslog para a qual direcionar mensagens de registro da API de gerenciamento. As opções são local0 a local7.
- Para incluir mensagens de registro sobre eventos de solicitação de API de gerenciamento, selecione Enviar mensagens de registro para solicitações de API de gerenciamento.
- Para incluir mensagens de registro sobre eventos de segurança (tentativas de fazer login no console de gerenciamento do sistema com um nome de usuário inválido), selecione a opção para enviar eventos de segurança, se disponível.
- Clique em Atualizar configurações para salvar a configuração.
Para testar a conexão, clique em Testar na página do Syslog. O HCP envia uma mensagem de teste com o nível de gravidade Aviso para o servidor Syslog. Verifique os registros do agente do Bindplane para confirmar se a mensagem foi recebida.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| host_name | intermediary.hostname | Nome do host do dispositivo intermediário |
| event_type | metadata.event_type | Tipo de evento (por exemplo, USER_LOGIN, NETWORK_CONNECTION) |
| product_event | metadata.product_event_type | Tipo de evento específico do produto |
| network.application_protocol | Protocolo de aplicativo usado (por exemplo, HTTP, HTTPS) | |
| http_method | network.http.method | Método HTTP (por exemplo, GET, POST) |
| url | network.http.referral_url | URL de referência para solicitações HTTP |
| response_code | network.http.response_code | Código de resposta HTTP |
| src_ip | principal.ip | Endereço IP de origem da conexão |
| metadata.product_name | Nome do produto | |
| metadata.vendor_name | Nome do fornecedor/empresa |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.