Recopila registros de la plataforma de contenido de Hitachi

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Hitachi Content Platform a Google Security Operations con Bindplane.

Hitachi Content Platform (HCP) es un sistema de almacenamiento de objetos distribuido diseñado para admitir grandes repositorios en crecimiento de datos de contenido fijo. HCP proporciona almacenamiento seguro con funciones que incluyen protección de datos, retención de cumplimiento, control de versiones y acceso a varios protocolos a través de APIs de REST, NFS, CIFS y WebDAV. La plataforma admite el uso de multiusuarios con aislamiento de espacios de nombres y, además, incluye capacidades integrales de supervisión y registro del sistema.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y la plataforma de contenido de Hitachi
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Cuenta de usuario a nivel del sistema con rol de administrador o de seguridad en HCP. El rol de supervisor o de cumplimiento puede ver la página de Syslog, pero no puede configurar el registro de Syslog ni probar las conexiones.
  • Acceso a la consola de administración del sistema de HCP

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir el syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  • Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

  • Configuración del receptor:

    • El receptor está configurado como udplog para detectar mensajes de syslog UDP en el puerto 514.
    • listen_address: "0.0.0.0:514" escucha en todas las interfaces en el puerto 51. Si el puerto 514 requiere privilegios de administrador en Linux, usa el puerto 1514 y configura HCP para que envíe datos a ese puerto.

  • Configuración del exportador:

    • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: Reemplaza YOUR_CUSTOMER_ID por el ID del cliente del paso anterior.
    • endpoint: URL del extremo regional:
      • EE.UU.: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulta Extremos regionales para obtener una lista completa.
    • log_type: Se debe establecer en HITACHI_CLOUD_PLATFORM exactamente como se muestra.
    • ingestion_labels: Etiquetas opcionales en formato YAML (por ejemplo, env: production).

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

  • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
  • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica que el servicio esté en ejecución:

        sudo systemctl status observiq-otel-collector

    2. Revisa los registros en busca de errores:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:

    • Símbolo del sistema o PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.

      3. Haz clic con el botón derecho y selecciona Reiniciar.

      4. Verifica que el servicio esté en ejecución:

        sc query observiq-otel-collector

      5. Revisa los registros en busca de errores:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog de Hitachi Content Platform

  1. Accede a la Consola de administración del sistema de HCP con una cuenta que tenga el rol de administrador o de seguridad.
  2. En el menú de nivel superior, selecciona Monitoring > Syslog.
  3. En el campo Direcciones IP del servidor Syslog, ingresa la dirección IP del host del agente de Bindplane, seguida de dos puntos y el número de puerto (por ejemplo, 192.168.1.100:514 o 192.168.1.100:1514). Si omites el número de puerto, HCP usará el puerto 514 de forma predeterminada.
  4. Haz clic en Agregar. La dirección IP especificada se mueve a la lista que se encuentra debajo del campo.
  5. En el campo Send log messages at this level or higher, selecciona el nivel de gravedad de los mensajes que se enviarán al servidor syslog:
    • NOTICE: Envía mensajes con un nivel de gravedad de Aviso, Advertencia o Error.
    • WARNING: Envía mensajes con un nivel de gravedad de advertencia o error.
    • ERROR: Envía solo mensajes con un nivel de gravedad de Error.
  6. En el campo Instalación de acceso HTTP, selecciona la instalación local de syslog a la que se dirigirán los mensajes de registro de acceso HTTP. Las opciones son local0 a local7.
  7. Para incluir mensajes de registro sobre los eventos de acceso a datos basados en HTTP, selecciona Enviar mensajes de registro para las solicitudes de acceso a datos basadas en HTTP.
  8. En el campo Instalación de acceso a MAPI, selecciona la instalación local de syslog a la que se dirigirán los mensajes de registro de la API de administración. Las opciones son local0 a local7.
  9. Para incluir mensajes de registro sobre los eventos de solicitud de la API de administración, selecciona Enviar mensajes de registro para las solicitudes de la API de administración.
  10. Para incluir mensajes de registro sobre eventos de seguridad (intentos de acceder a la consola de administración del sistema con un nombre de usuario no válido), selecciona la opción para enviar eventos de seguridad si está disponible.
  11. Haz clic en Actualizar configuración para guardar la configuración.

  12. Para probar la conexión, haz clic en Probar en la página Syslog. El HCP envía un mensaje de prueba con el nivel de gravedad Notice al servidor de syslog. Revisa los registros del agente de Bindplane para verificar que se haya recibido el mensaje.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
host_name intermediary.hostname Nombre de host del dispositivo intermediario
event_type metadata.event_type Tipo de evento (p.ej., USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Tipo de evento específico del producto
network.application_protocol Protocolo de aplicación utilizado (p.ej., HTTP, HTTPS)
http_method network.http.method Método HTTP (p.ej., GET y POST)
url network.http.referral_url URL de referencia para solicitudes HTTP
response_code network.http.response_code Código de respuesta HTTP
src_ip principal.ip Dirección IP de origen de la conexión
metadata.product_name Nombre del producto
metadata.vendor_name Nombre del proveedor o la empresa

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.