Coletar registros do HPE iLO
Este documento explica como ingerir registros do HPE iLO no Google Security Operations usando o agente do Bindplane.
O HPE iLO (Integrated Lights-Out) é um processador de gerenciamento de servidor remoto que gera mensagens syslog para eventos de hardware, tentativas de autenticação, consultas de DNS e mudanças de status do sistema. O analisador usa correspondência de padrões JSON e grok para extrair campos de formatos de registro do HP iLO e os mapeia para o modelo de dados unificado (UDM).
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e a interface de gerenciamento do HPE iLO
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
- Acesso privilegiado ao HPE iLO
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço será mostrado como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço será mostrado como ativo (em execução).
Recursos de instalação adicionais
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir o syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hpe_ilo: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HPE_ILO raw_log_field: body service: pipelines: logs/hpe_ilo_to_chronicle: receivers: - udplog exporters: - chronicle/hpe_ilo
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor :
listen_address: endereço IP e porta a serem detectados:0.0.0.0para detectar em todas as interfaces (recomendado)- A porta
514é a porta syslog padrão (requer raiz no Linux; use1514para não raiz)
Configuração do exportador :
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID do cliente copiado do console do Google SecOpsendpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte Endpoints regionais para a lista completa
- EUA:
Salvar o arquivo de configuração
- Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O, depoisEntereCtrl+X - Windows: clique em Arquivo > Salvar
- Linux: pressione
Reiniciar o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o observIQ OpenTelemetry Collector.
- Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o syslog no HPE iLO
- Faça login na UI da Web do HPE iLO.
- Acesse a guia Gerenciamento > Syslog remoto.
- Clique em Ativar o syslog remoto do iLO.
- Informe os seguintes detalhes de configuração:
- Porta syslog remota: insira o número da porta do Bindplane (por exemplo,
514). - Servidor syslog remoto: insira o endereço IP do Bindplane.
- Porta syslog remota: insira o número da porta do Bindplane (por exemplo,
- Clique em Enviar syslog de teste e valide se ele foi recebido.
- Clique em Aplicar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
data |
Esse campo é analisado e mapeado para vários campos do UDM com base no conteúdo dele. | |
data.HOSTNAME |
principal.hostname | Mapeado quando o primeiro padrão grok no campo "message" corresponde ou quando o campo "description" contém "Host". Determina se event_type é STATUS_UPDATE. |
data.HOSTNAME |
network.dns.questions.name | Preenchido pela correspondência de padrões grok "DATA" em "message". Usado para preencher dns.questions se não estiver vazio e não contiver "(?i)not found". |
data.HOSTNAME |
target.user.user_display_name | Preenchido pela correspondência de padrões grok "DATA" em "message". |
data.IP |
target.ip | Preenchido por padrões grok que correspondem a "IP" em "message" ou "summary". |
data.WORD |
metadata.product_event_type | Preenchido pela correspondência de padrões grok "WORD" em "message". |
data.GREEDYDATA |
security_result.summary | Preenchido pela correspondência de padrões grok "GREEDYDATA" em "message". Usado para determinar network.application_protocol e event_type com base no conteúdo. |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | Preenchido pelo plug-in de data com base em vários formatos de carimbo de data/hora. |
data.MONTHNUM |
Não mapeado | |
data.MONTHDAY |
Não mapeado | |
data.YEAR |
Não mapeado | |
data.TIME |
Não mapeado | |
data.HOST |
principal.hostname | Mapeado quando o segundo padrão grok no campo "message" corresponde. |
data.INT |
Não mapeado | |
data.UserAgent |
network.http.user_agent | Mapeado quando o campo description contém User-Agent. |
data.Connection |
security_result.description | Mapeado quando o campo description contém Connection. |
| N/A | metadata.event_type | O padrão é GENERIC_EVENT. Muda para STATUS_UPDATE se data.HOSTNAME for mapeado com sucesso para principal.hostname, NETWORK_DNS se question for preenchido ou USER_LOGIN se summary contiver Browser login. |
| N/A | metadata.vendor_name | Fixado no código como HP. |
| N/A | metadata.log_type | Definido como HPE_ILO. |
| N/A | network.application_protocol | Definido como LDAP se summary contiver LDAP ou DNS se question for preenchido. |
| N/A | extensions.auth.type | Definido como MACHINE se summary contiver Browser login. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.