Hitachi Content Platform-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Hitachi Content Platform-Logs mit Bindplane in Google Security Operations aufnehmen.

Die Hitachi Content Platform (HCP) ist ein verteiltes Objektspeichersystem, das für große, wachsende Repositories mit Daten mit unveränderlichem Inhalt entwickelt wurde. HCP bietet sichere Speicherung mit Funktionen wie Datenschutz, Compliance-Aufbewahrung, Versionsverwaltung und Multi-Protokoll-Zugriff über REST APIs, NFS, CIFS und WebDAV. Die Plattform unterstützt die Mehrinstanzenfähigkeit mit Namespace-Isolation und bietet umfassende Systemmonitoring- und Logging-Funktionen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und der Hitachi Content Platform
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Nutzerkonto auf Systemebene mit Administrator- oder Sicherheitsrolle in HCP. Die Rolle „Monitor“ oder „Compliance“ kann die Syslog-Seite aufrufen, aber keine Syslog-Protokollierung konfigurieren oder Verbindungen testen.
  • Zugriff auf die HCP System Management Console

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

  • Empfängerkonfiguration:

    • Der Empfänger ist als udplog konfiguriert, um UDP-Syslog-Nachrichten auf Port 514 zu empfangen.
    • listen_address: "0.0.0.0:514" überwacht alle Schnittstellen auf Port 51. Wenn für Port 514 Root-Berechtigungen unter Linux erforderlich sind, verwenden Sie stattdessen Port 1514 und konfigurieren Sie HCP so, dass Daten an diesen Port gesendet werden.

  • Exporter-Konfiguration:

    • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch die Kunden-ID aus dem vorherigen Schritt.
    • endpoint: Regionale Endpunkt-URL:
      • USA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
    • log_type: Setzen Sie den Wert genau wie dargestellt auf HITACHI_CLOUD_PLATFORM.
    • ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Hitachi Content Platform konfigurieren

  1. Melden Sie sich mit einem Konto mit Administrator- oder Sicherheitsrolle in der HCP System Management Console an.
  2. Wählen Sie im Menü der obersten Ebene Monitoring > Syslog aus.
  3. Geben Sie im Feld Syslog Server IP Addresses (IP-Adressen des Syslog-Servers) die IP-Adresse des Bindplane-Agent-Hosts ein, optional gefolgt von einem Doppelpunkt und einer Portnummer (z. B. 192.168.1.100:514 oder 192.168.1.100:1514). Wenn Sie die Portnummer weglassen, verwendet HCP standardmäßig Port 514.
  4. Klicken Sie auf Hinzufügen. Die angegebene IP-Adresse wird in die Liste unter dem Feld verschoben.
  5. Wählen Sie im Feld Send log messages at this level or higher (Lognachrichten auf dieser oder einer höheren Ebene senden) den Schweregrad der Nachrichten aus, die an den Syslog-Server gesendet werden sollen:
    • NOTICE: Sendet Nachrichten mit der Wichtigkeitsstufe „Notice“, „Warning“ oder „Error“.
    • WARNING: Sendet Meldungen mit der Wichtigkeitsstufe „Warning“ oder „Error“.
    • ERROR: Es werden nur Nachrichten mit der Wichtigkeitsstufe „Error“ gesendet.
  6. Wählen Sie im Feld HTTP access Facility (HTTP-Zugriffseinrichtung) die lokale Syslog-Einrichtung aus, an die HTTP-Zugriffsprotokollmeldungen gesendet werden sollen. Die Optionen sind local0 bis local7.
  7. Wenn Sie Protokollnachrichten zu HTTP-basierten Datenzugriffsereignissen einbeziehen möchten, wählen Sie Protokollnachrichten für HTTP-basierte Datenzugriffsanfragen senden aus.
  8. Wählen Sie im Feld MAPI-Zugriffseinrichtung die lokale Syslog-Einrichtung aus, an die Management API-Logmeldungen gesendet werden sollen. Die Optionen sind local0 bis local7.
  9. Wenn Sie Log-Mitteilungen zu Ereignissen von Management API-Anfragen einbeziehen möchten, wählen Sie Log-Mitteilungen für Management API-Anfragen senden aus.
  10. Wenn Sie Protokollmeldungen zu Sicherheitsereignissen (Versuche, sich mit einem ungültigen Nutzernamen in der System Management Console anzumelden) einbeziehen möchten, wählen Sie die Option zum Senden von Sicherheitsereignissen aus, sofern verfügbar.
  11. Klicken Sie auf Einstellungen aktualisieren, um die Konfiguration zu speichern.

  12. Klicken Sie auf der Seite „Syslog“ auf Test, um die Verbindung zu testen. HCP sendet eine Testnachricht mit dem Schweregrad „Notice“ an den Syslog-Server. Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass die Nachricht empfangen wurde.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
host_name intermediary.hostname Hostname des Vermittlungsgeräts
event_type metadata.event_type Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Produktspezifischer Ereignistyp
network.application_protocol Verwendetes Anwendungsprotokoll (z.B. HTTP, HTTPS)
http_method network.http.method HTTP-Methode (z.B. GET, POST)
URL network.http.referral_url Verweis-URL für HTTP-Anfragen
response_code network.http.response_code HTTP-Antwortcode
src_ip principal.ip Quell-IP-Adresse der Verbindung
metadata.product_name Produktname
metadata.vendor_name Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten