Raccogliere i log di Hitachi Content Platform

Supportato in:

Questo documento spiega come importare i log di Hitachi Content Platform in Google Security Operations utilizzando Bindplane.

Hitachi Content Platform (HCP) è un sistema di archiviazione di oggetti distribuito progettato per supportare repository grandi e in crescita di dati con contenuti fissi. HCP fornisce un'archiviazione sicura con funzionalità che includono protezione dei dati, conservazione per conformità, controllo delle versioni e accesso multiprotocollo tramite API REST, NFS, CIFS e WebDAV. La piattaforma supporta il multitenancy con l'isolamento dello spazio dei nomi e include funzionalità complete di monitoraggio e logging del sistema.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e Hitachi Content Platform
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Account utente a livello di sistema con ruolo amministrativo o di sicurezza in HCP. Il ruolo di monitoraggio o conformità può visualizzare la pagina Syslog, ma non può configurare la registrazione syslog o testare le connessioni
  • Accesso alla console di gestione del sistema HCP

Recuperare il file di autenticazione dell'importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parametri di configurazione

Sostituisci i seguenti segnaposto:

  • Configurazione del ricevitore:

    • Il ricevitore è configurato come udplog per l'ascolto dei messaggi syslog UDP sulla porta 514.
    • listen_address: "0.0.0.0:514" rimane in ascolto su tutte le interfacce sulla porta 51. Se la porta 514 richiede privilegi di root su Linux, utilizza la porta 1514 e configura HCP in modo che invii a questa porta.

  • Configurazione dell'esportatore:

    • creds_file_path: percorso completo del file di autenticazione importazione:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente del passaggio precedente.
    • endpoint: URL endpoint regionale:
      • Stati Uniti: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Per un elenco completo, vedi Endpoint regionali.
    • log_type: imposta su HITACHI_CLOUD_PLATFORM esattamente come mostrato.
    • ingestion_labels: Etichette facoltative in formato YAML (ad esempio, env: production).

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di syslog di Hitachi Content Platform

  1. Accedi alla console di gestione del sistema HCP utilizzando un account con ruolo amministratore o di sicurezza.
  2. Nel menu di primo livello, seleziona Monitoring > Syslog.
  3. Nel campo Indirizzi IP server Syslog, inserisci l'indirizzo IP dell'host dell'agente Bindplane, seguito facoltativamente da due punti e dal numero di porta (ad esempio, 192.168.1.100:514 o 192.168.1.100:1514). Se ometti il numero di porta, HCP utilizza la porta 514 per impostazione predefinita.
  4. Fai clic su Aggiungi. L'indirizzo IP specificato viene spostato nell'elenco sotto il campo.
  5. Nel campo Invia messaggi di log a questo livello o superiore, seleziona il livello di gravità dei messaggi da inviare al server syslog:
    • AVVISO: invia messaggi con un livello di gravità Avviso, Avvertimento o Errore.
    • AVVISO: invia messaggi con un livello di gravità Avviso o Errore.
    • ERROR: invia solo i messaggi con un livello di gravità Errore.
  6. Nel campo HTTP access Facility, seleziona la funzionalità locale syslog a cui indirizzare i messaggi di log di accesso HTTP. Le opzioni sono local0 fino a local7.
  7. Per includere i messaggi di log relativi agli eventi di accesso ai dati basati su HTTP, seleziona Invia messaggi di log per le richieste di accesso ai dati basate su HTTP.
  8. Nel campo MAPI access Facility, seleziona la funzionalità locale syslog a cui indirizzare i messaggi di log dell'API di gestione. Le opzioni sono local0 fino a local7.
  9. Per includere i messaggi di log relativi agli eventi di richiesta dell'API Management, seleziona Invia messaggi di log per le richieste dell'API Management.
  10. Per includere i messaggi di log relativi agli eventi di sicurezza (tentativi di accesso alla console di gestione del sistema con un nome utente non valido), seleziona l'opzione per inviare gli eventi di sicurezza, se disponibile.
  11. Fai clic su Aggiorna impostazioni per salvare la configurazione.

  12. Per testare la connessione, fai clic su Test nella pagina Syslog. HCP invia un messaggio di prova con livello di gravità Avviso al server syslog. Controlla i log dell'agente Bindplane per verificare che il messaggio sia stato ricevuto.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
host_name intermediary.hostname Nome host del dispositivo intermediario
event_type metadata.event_type Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Tipo di evento specifico per il prodotto
network.application_protocol Protocollo dell'applicazione utilizzato (ad es. HTTP, HTTPS)
http_method network.http.method Metodo HTTP (ad es. GET, POST)
url network.http.referral_url URL di riferimento per le richieste HTTP
response_code network.http.response_code Codice risposta HTTP
src_ip principal.ip Indirizzo IP di origine della connessione
metadata.product_name Nome del prodotto
metadata.vendor_name Nome fornitore/azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.