Illumio Core 로그 수집
이 문서에서는 Bindplane을 사용하여 Illumio Core 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
파서는 Illumio Core JSON, SYSLOG, SYSLOG+JSON, SYSLOG+CEF 형식 로그에서 필드를 추출합니다. grok 또는 JSON 파싱을 사용하여 로그 메시지를 파싱한 다음 이러한 값을 통합 데이터 모델 (UDM)에 매핑합니다. 또한 이벤트 소스 및 유형의 기본 메타데이터 값을 설정합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Illumio Policy Compute Engine (PCE) 웹 콘솔에 대한 관리자 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector
서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector
서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'ILLUMIO_CORE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
tcplog: UDP syslog의 경우udplog, TCP syslog의 경우tcplog사용0.0.0.0: 리슨할 IP 주소 (모든 인터페이스에서 리슨하려면0.0.0.0)514: 리슨할 포트 번호 (표준 syslog 포트)
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 고객 ID 가져오기 섹션의 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type: Chronicle에 표시되는 로그 유형 (ILLUMIO_CORE)
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
명령 프롬프트 또는 PowerShell(관리자 권한)
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R를 누르고services.msc를 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Illumio Core에서 Syslog 전달 구성
- Illumio Policy Compute Engine (PCE) 웹 콘솔에 로그인합니다.
- 설정 > 이벤트 설정으로 이동합니다.
- Syslog Destinations 섹션에서 Add를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 설명: 설명이 포함된 이름 (예:
Google-SecOps-Bindplane)을 입력합니다. - 원격 Syslog 대상: Bindplane 에이전트 호스트의 IP 주소를 입력합니다.
- 포트:
514를 입력합니다. - 프로토콜: TCP를 선택합니다.
- 심각도: 정보를 선택합니다 (또는 원하는 심각도 수준을 선택합니다. 포괄적인 로깅에는 수준 6이 권장됨).
- 형식: 구조화된 파싱을 위해 CEF (Common Event Format)를 선택합니다.
- 설명: 설명이 포함된 이름 (예:
- 이벤트 유형 섹션에서 전달할 이벤트를 선택합니다.
- 조직 이벤트: 조직 수준 변경사항
- 감사 가능한 이벤트: 사용자 및 API 감사 추적
- 트래픽 흐름 이벤트: 네트워크 흐름 요약
- 노드 이벤트: VEN 및 워크로드 상태 변경
- 저장을 클릭합니다.
- Bindplane 에이전트 로그를 확인하여 syslog 메시지가 전송되고 있는지 확인합니다.
또는 API를 통해 구성합니다.
curl -X POST "https://PCE_HOST:8443/api/v2/orgs/ORG_ID/settings/syslog/destinations" \
-H "Content-Type: application/json" \
-u "API_KEY:API_SECRET" \
-d '{
"description": "Google-SecOps-Bindplane",
"remote_syslog": "BINDPLANE_IP",
"remote_syslog_port": 514,
"remote_syslog_protocol": 6,
"severity": 6,
"type": "cef"
}'
PCE_HOST,ORG_ID,API_KEY,API_SECRET,BINDPLANE_IP를 해당 값으로 바꿉니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.