收集 Hitachi Content Platform 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Hitachi Content Platform 記錄擷取至 Google Security Operations。

Hitachi Content Platform (HCP) 是一種分散式物件儲存系統,專為支援大型且不斷成長的固定內容資料存放區而設計。HCP 提供安全儲存空間,並具備資料保護、法規遵循保留、版本控管等功能,以及透過 REST API、NFS、CIFS 和 WebDAV 進行多通訊協定存取。這個平台支援多租戶架構,可隔離命名空間,並提供完整的系統監控和記錄功能。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows Server 2016 以上版本,或搭載 systemd 的 Linux 主機
  • Bindplane 代理程式與 Hitachi Content Platform 之間的網路連線
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
  • 在 HCP 中具有管理員或安全角色,且屬於系統層級的使用者帳戶。監控或法規遵循角色可以查看 Syslog 頁面,但無法設定 Syslog 記錄或測試連線
  • HCP 系統管理控制台的存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安裝完成。

  4. 執行下列指令來驗證安裝:

    sc query observiq-otel-collector

服務應顯示為「RUNNING」(執行中)

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 等待安裝完成。

  4. 執行下列指令來驗證安裝:

    sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)

其他安裝資源

如需其他安裝選項和疑難排解資訊,請參閱 Bindplane 代理程式安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

  • config.yaml 的所有內容替換為下列設定:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

設定參數

請替換下列預留位置:

  • 接收器設定:

    • 接收器已設定為 udplog,可監聽通訊埠 514 上的 UDP 系統記錄檔訊息。
    • listen_address: "0.0.0.0:514" 會監聽通訊埠 51 的所有介面。如果通訊埠 514 需要 Linux 上的根權限,請改用通訊埠 1514,並將 HCP 設定為傳送至該通訊埠。

  • 匯出工具設定:

    • creds_file_path:擷取驗證檔案的完整路徑:
      • Linux/etc/bindplane-agent/ingestion-auth.json
      • WindowsC:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id:將 YOUR_CUSTOMER_ID 替換為上一個步驟中的客戶 ID。
    • endpoint:區域端點網址:
      • 美國malachiteingestion-pa.googleapis.com
      • 歐洲europe-malachiteingestion-pa.googleapis.com
      • 亞洲asia-southeast1-malachiteingestion-pa.googleapis.com
      • 如要查看完整清單,請參閱「區域端點」。
    • log_type:設為 HITACHI_CLOUD_PLATFORM,與顯示內容完全一致。
    • ingestion_labels:YAML 格式的選用標籤 (例如 env: production)。

儲存設定檔

編輯完成後,請儲存檔案:

  • Linux:依序按下 Ctrl+OEnterCtrl+X
  • Windows:依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart observiq-otel-collector

    1. 確認服務正在執行:

        sudo systemctl status observiq-otel-collector

    2. 檢查記錄中是否有錯誤:

        sudo journalctl -u observiq-otel-collector -f

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,請選擇下列任一做法:

    • 以管理員身分開啟命令提示字元或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 服務控制台:

      1. 按下 Win+R 鍵,輸入 services.msc,然後按下 Enter 鍵。
      2. 找出 observIQ OpenTelemetry Collector

      3. 按一下滑鼠右鍵,然後選取「重新啟動」

      4. 確認服務正在執行:

        sc query observiq-otel-collector

      5. 檢查記錄中是否有錯誤:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

設定 Hitachi Content Platform syslog 轉送

  1. 使用具備管理員或安全角色權限的帳戶,登入 HCP 系統管理控制台
  2. 在頂層選單中,依序選取「Monitoring」>「Syslog」
  3. 在「Syslog Server IP Addresses」(系統記錄伺服器 IP 位址) 欄位中,輸入 Bindplane 代理程式主機的 IP 位址,後面可選擇加上半形冒號和通訊埠號碼 (例如 192.168.1.100:514192.168.1.100:1514)。如果省略通訊埠號碼,HCP 預設會使用通訊埠 514。
  4. 按一下「Add」(新增)。指定的 IP 位址會移至欄位下方的清單。
  5. 在「Send log messages at this level or higher」欄位中,選取要傳送至系統記錄伺服器的訊息嚴重性層級:
    • NOTICE:傳送嚴重性等級為「Notice」、「Warning」或「Error」的訊息。
    • WARNING:傳送嚴重性等級為「警告」或「錯誤」的訊息。
    • ERROR:只傳送嚴重程度為「錯誤」的訊息。
  6. 在「HTTP access Facility」欄位中,選取要將 HTTP 存取記錄訊息導向的系統記錄本機設施。選項包括 local0local7
  7. 如要納入 HTTP 型資料存取事件的記錄訊息,請選取「傳送 HTTP 型資料存取要求的記錄訊息」
  8. 在「MAPI access Facility」(MAPI 存取設施) 欄位中,選取要將管理 API 記錄訊息導向的 syslog 本機設施。選項包括 local0local7
  9. 如要納入管理 API 要求事件的記錄訊息,請選取「傳送管理 API 要求的記錄訊息」
  10. 如要納入安全性事件的記錄訊息 (嘗試使用無效的使用者名稱登入系統管理控制台),請選取傳送安全性事件的選項 (如有)。
  11. 按一下「更新設定」即可儲存設定。

  12. 如要測試連線,請按一下「系統記錄」頁面上的「測試」。HCP 會將嚴重程度為「注意」的測試訊息傳送至系統記錄檔伺服器。查看 Bindplane 代理程式記錄,確認是否已收到訊息。

UDM 對應表

記錄欄位 UDM 對應 邏輯
host_name intermediary.hostname 中介裝置的主機名稱
event_type metadata.event_type 事件類型 (例如USER_LOGIN、NETWORK_CONNECTION)
product_event metadata.product_event_type 產品專屬事件類型
network.application_protocol 使用的應用程式通訊協定 (例如 HTTP、HTTPS)
http_method network.http.method HTTP 方法 (例如 GET、POST)
網址 network.http.referral_url HTTP 要求的參照網址
response_code network.http.response_code HTTP 回應碼
src_ip principal.ip 連線的來源 IP 位址
metadata.product_name 產品名稱
metadata.vendor_name 供應商/公司名稱

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。