Coletar registros da plataforma de conteúdo da Hitachi

Compatível com:

Este documento explica como ingerir registros da Hitachi Content Platform no Google Security Operations usando o Bindplane.

A Hitachi Content Platform (HCP) é um sistema de armazenamento de objetos distribuído projetado para oferecer suporte a repositórios grandes e crescentes de dados de conteúdo fixo. O HCP oferece armazenamento seguro com recursos como proteção de dados, retenção de compliance, controle de versões e acesso multiprotocolo por APIs REST, NFS, CIFS e WebDAV. A plataforma oferece suporte à multilocação com isolamento de namespace e inclui recursos abrangentes de monitoramento e geração de registros do sistema.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e a plataforma de conteúdo da Hitachi
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
  • Conta de usuário no nível do sistema com função de administrador ou de segurança no HCP. A função de monitor ou compliance pode acessar a página do Syslog, mas não configurar o registro do syslog nem testar conexões.
  • Acesso ao console de gerenciamento do sistema HCP

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • O receptor é configurado como udplog para detectar mensagens syslog UDP na porta 514.
    • O listen_address: "0.0.0.0:514" detecta todas as interfaces na porta 51. Se a porta 514 exigir privilégios de root no Linux, use a porta 1514 e configure o HCP para enviar a essa porta.

  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: substitua YOUR_CUSTOMER_ID pelo ID do cliente da etapa anterior.
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte Endpoints regionais para ver uma lista completa.
    • log_type: defina como HITACHI_CLOUD_PLATFORM exatamente como mostrado.
    • ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

        sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento syslog da Hitachi Content Platform

  1. Faça login no HCP System Management Console usando uma conta com função de administrador ou de segurança.
  2. No menu de nível superior, selecione Monitoring > Syslog.
  3. No campo Endereços IP do servidor Syslog, insira o endereço IP do host do agente Bindplane, seguido opcionalmente por dois pontos e um número de porta (por exemplo, 192.168.1.100:514 ou 192.168.1.100:1514). Se você omitir o número da porta, o HCP usará a porta 514 por padrão.
  4. Clique em Adicionar. O endereço IP especificado é movido para a lista abaixo do campo.
  5. No campo Enviar mensagens de registro neste nível ou superior, selecione o nível de gravidade das mensagens a serem enviadas ao servidor syslog:
    • NOTICE: envia mensagens com um nível de gravidade de aviso, alerta ou erro.
    • AVISO: envia mensagens com um nível de gravidade de aviso ou erro.
    • ERROR: envia apenas mensagens com um nível de gravidade "Erro".
  6. No campo Facilidade de acesso HTTP, selecione a facilidade local do syslog para onde direcionar as mensagens de registro de acesso HTTP. As opções são local0 a local7.
  7. Para incluir mensagens de registro sobre eventos de acesso a dados baseados em HTTP, selecione Enviar mensagens de registro para solicitações de acesso a dados baseadas em HTTP.
  8. No campo MAPI access Facility, selecione a instalação local do syslog para onde direcionar as mensagens de registro da API Management. As opções são local0 a local7.
  9. Para incluir mensagens de registro sobre eventos de solicitação da API Management, selecione Enviar mensagens de registro para solicitações da API Management.
  10. Para incluir mensagens de registro sobre eventos de segurança (tentativas de fazer login no console de gerenciamento do sistema com um nome de usuário inválido), selecione a opção de enviar eventos de segurança, se disponível.
  11. Clique em Atualizar configurações para salvar a configuração.

  12. Para testar a conexão, clique em Testar na página "Syslog". O HCP envia uma mensagem de teste com o nível de gravidade "Aviso" para o servidor syslog. Verifique os registros do agente do Bindplane para confirmar se a mensagem foi recebida.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
host_name intermediary.hostname Nome do host do dispositivo intermediário
event_type metadata.event_type Tipo de evento (por exemplo, USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Tipo de evento específico do produto
network.application_protocol Protocolo de aplicativo usado (por exemplo, HTTP, HTTPS)
http_method network.http.method Método HTTP (por exemplo, GET, POST)
url network.http.referral_url URL de encaminhamento para solicitações HTTP
response_code network.http.response_code Código de resposta HTTP
src_ip principal.ip Endereço IP de origem da conexão.
metadata.product_name Nome do produto
metadata.vendor_name Nome do fornecedor/empresa

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.