Collecter les journaux Hitachi Content Platform

Compatible avec :

Ce document explique comment ingérer les journaux Hitachi Content Platform dans Google Security Operations à l'aide de Bindplane.

Hitachi Content Platform (HCP) est un système de stockage d'objets distribué conçu pour prendre en charge les grands référentiels de données à contenu fixe en pleine croissance. HCP fournit un stockage sécurisé avec des fonctionnalités telles que la protection des données, la conservation conforme, le contrôle des versions et l'accès multiprotocole via les API REST, NFS, CIFS et WebDAV. La plate-forme est compatible avec l'architecture mutualisée avec isolation des espaces de noms et inclut des fonctionnalités complètes de surveillance et de journalisation du système.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et Hitachi Content Platform
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Compte utilisateur au niveau du système avec un rôle d'administrateur ou de sécurité dans HCP. Le rôle de contrôleur ou de responsable de la conformité peut afficher la page Syslog, mais ne peut pas configurer la journalisation Syslog ni tester les connexions.
  • Accès à la console de gestion du système HCP

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • Le récepteur est configuré sur udplog pour écouter les messages syslog UDP sur le port 514.
    • listen_address: "0.0.0.0:514" écoute sur toutes les interfaces sur le port 51. Si le port 514 nécessite des droits racine sur Linux, utilisez plutôt le port 1514 et configurez HCP pour qu'il envoie les données à ce port.

  • Configuration de l'exportateur :

    • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
      • Linux : /etc/bindplane-agent/ingestion-auth.json
      • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id : remplacez YOUR_CUSTOMER_ID par le numéro client de l'étape précédente.
    • endpoint : URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe : europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
      • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
    • log_type : définissez la valeur sur HITACHI_CLOUD_PLATFORM exactement comme indiqué.
    • ingestion_labels : libellés facultatifs au format YAML (par exemple, env: production).

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog Hitachi Content Platform

  1. Connectez-vous à la console de gestion du système HCP à l'aide d'un compte disposant d'un rôle d'administrateur ou de sécurité.
  2. Dans le menu de premier niveau, sélectionnez Monitoring> Syslog.
  3. Dans le champ Adresses IP du serveur Syslog, saisissez l'adresse IP de l'hôte de l'agent Bindplane, éventuellement suivie d'un deux-points et d'un numéro de port (par exemple, 192.168.1.100:514 ou 192.168.1.100:1514). Si vous omettez le numéro de port, HCP utilise le port 514 par défaut.
  4. Cliquez sur Ajouter. L'adresse IP spécifiée est ajoutée à la liste sous le champ.
  5. Dans le champ Envoyer les messages de journal à ce niveau ou à un niveau supérieur, sélectionnez le niveau de gravité des messages à envoyer au serveur syslog :
    • NOTICE : envoie des messages dont le niveau de gravité est "Notice", "Warning" ou "Error".
    • WARNING : envoie les messages dont le niveau de gravité est "Warning" (Avertissement) ou "Error" (Erreur).
    • ERROR : n'envoie que les messages dont le niveau de gravité est "Erreur".
  6. Dans le champ Fonctionnalité d'accès HTTP, sélectionnez la fonctionnalité syslog locale vers laquelle rediriger les messages du journal d'accès HTTP. Les options sont local0 à local7.
  7. Pour inclure des messages de journaux sur les événements d'accès aux données basés sur HTTP, sélectionnez Envoyer des messages de journaux pour les demandes d'accès aux données basées sur HTTP.
  8. Dans le champ Installation d'accès MAPI, sélectionnez l'installation syslog locale vers laquelle diriger les messages de journaux de l'API de gestion. Les options sont local0 à local7.
  9. Pour inclure des messages de journaux sur les événements de requête de l'API Management, sélectionnez Envoyer des messages de journaux pour les requêtes de l'API Management.
  10. Pour inclure des messages de journaux sur les événements de sécurité (tentatives de connexion à la console de gestion du système avec un nom d'utilisateur non valide), sélectionnez l'option permettant d'envoyer les événements de sécurité, le cas échéant.
  11. Cliquez sur Mettre à jour les paramètres pour enregistrer la configuration.

  12. Pour tester la connexion, cliquez sur Tester sur la page Syslog. Le HCP envoie un message de test avec le niveau de gravité "Notice" (Avis) au serveur syslog. Consultez les journaux de l'agent Bindplane pour vérifier que le message a bien été reçu.

Table de mappage UDM

Champ de journal Mappage UDM Logique
host_name intermediary.hostname Nom d'hôte de l'appareil intermédiaire
event_type metadata.event_type Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Type d'événement spécifique au produit
network.application_protocol Protocole d'application utilisé (par exemple, HTTP, HTTPS)
http_method network.http.method Méthode HTTP (par exemple, GET, POST)
url network.http.referral_url URL de provenance pour les requêtes HTTP
response_code network.http.response_code Code de réponse HTTP
src_ip principal.ip Adresse IP source de la connexion
metadata.product_name Nom du produit
metadata.vendor_name Nom du fournisseur/de l'entreprise

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.