Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di OpenLDAP

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di OpenLDAP in Google Security Operations utilizzando Bindplane.

OpenLDAP è un server di directory LDAP open source che genera log di accesso, controllo e replica. Il parser estrae i campi dalle voci di log di OpenLDAP e li mappa al modello di dati unificato (UDM), acquisendo l'identità utente, gli eventi di autenticazione, le operazioni LDAP e i risultati di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server OpenLDAP
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi al server OpenLDAP con autorizzazioni di root o amministrative

Scarica il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione di importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota: questo file JSON contiene le credenziali per autenticare l'agente Bindplane in Google SecOps.

Scarica l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare i syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo systemctl status observiq-otel-collector

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/openldap:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: OPENLDAP
        raw_log_field: body

service:
    pipelines:
        logs/openldap:
            receivers:
                - udplog
            exporters:
                - chronicle/openldap

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- udplog: il tipo di ricevitore basato sul protocollo:
  - udplog per syslog UDP
  - tcplog per syslog TCP
  - syslog per syslog RFC 3164/5424
- 0.0.0.0: indirizzo IP su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - Indirizzo IP specifico su cui ascoltare su un'interfaccia
- 514: numero di porta su cui ascoltare (ad esempio, 514, 1514, 6514)
Configurazione dell'esportatore:
- <customer_id>: ID cliente del passaggio precedente
- malachiteingestion-pa.googleapis.com: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, consulta Endpoint regionali
- Modifica creds_file_path a seconda della piattaforma:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

Salva il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```

Per riavviare l'agente Bindplane in Windows:

Scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```

Controlla i log per verificare la presenza di errori:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro dei syslog di OpenLDAP

OpenLDAP (slapd) può essere configurato per registrare i log tramite syslog. Configura il daemon syslog per inoltrare i log di OpenLDAP all'agente Bindplane.

Verifica che OpenLDAP sia configurato per registrare i log in syslog. Controlla slapd.conf o cn=config per la direttiva loglevel:
```
loglevel stats conns
```
Nota: i livelli di log comuni includono stats (statistiche di connessione/operazione), conns (gestione delle connessioni) e ACL (elaborazione del controllo dell'accesso). Modifica il livello di log per acquisire gli eventi di cui hai bisogno.
Per impostazione predefinita, i log di OpenLDAP vengono registrati nella struttura syslog local4. Configura rsyslog per inoltrare questi log all'agente Bindplane. Crea un file di configurazione:
```
sudo nano /etc/rsyslog.d/openldap-forward.conf
```
Aggiungi i seguenti contenuti:
```
local4.* @BINDPLANE_AGENT_IP:514
```
Nota: sostituisci BINDPLANE_AGENT_IP con l'indirizzo IP dell'host dell'agente Bindplane. Utilizza @@ anziché @ per TCP.
Riavvia il servizio rsyslog:
```
sudo systemctl restart rsyslog
```

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
op, fd, ou, cn, dc, dc1, base1, base2, base3, scope_data, valueData, method, filter, tag_data, err, attrData, ou_2, ou_1, syslog_message, immutable_user_id, resource	additional.fields	Unito alle etichette create da questi campi
	extensions.auth.type	Impostato su "AUTHTYPE_UNSPECIFIED"
caller_ip, proxy1_ip, proxy2_ip	intermediary	Unito da intermediary, proxy_1, proxy_2
msg1, inner_message	metadata.description	Valore da msg1 o inner_message
	metadata.event_type	Inizialmente impostato su "GENERIC_EVENT", poi su "STATUS_UPDATE" se è presente l'IP principale, su "USER_UNCATEGORIZED" se è presente l'utente, su "USER_LOGIN" se è presente il timestamp o inner_ts
ldap_action	metadata.product_event_type	Valore da ldap_action in minuscolo
ldap_conn	metadata.product_log_id	Valore da ldap_conn dopo aver rimosso "conn="
user_agent	network.http.user_agent	Valore copiato direttamente
session_id	network.session_id	Valore copiato direttamente
principal_ip, prin_ip, caller_ip, r_ip_or_host, proxy_client_ip, src_ip, client_ip	principal.asset.ip	Unito da principal_ip (dopo aver sostituito - con .), prin_ip, caller_ip, r_ip_or_host (se IP), proxy_client_ip, src_ip, client_ip
r_ip_or_host, src_host	principal.hostname	Valore da r_ip_or_host se nome host, altrimenti src_host
principal_ip, prin_ip, caller_ip, r_ip_or_host, proxy_client_ip, src_ip, client_ip	principal.ip	Unito da principal_ip (dopo aver sostituito - con .), prin_ip, caller_ip, r_ip_or_host (se IP), proxy_client_ip, src_ip, client_ip
country	principal.location.country_or_region	Valore copiato direttamente
prin_port, port, src_port	principal.port	Valore da prin_port, port o src_port, convertito in numero intero
syslog_process	principal.process.file.full_path	Valore copiato direttamente
syslog_pid	principal.process.pid	Valore copiato direttamente
org_name	principal.user.company_name	Valore copiato direttamente
user, cn, uid	principal.user.userid	Valore da user, cn o uid
security_result	security_result	Unito direttamente
action, sec_action	security_result.action	Valore da action (in base ai codici di errore) o sec_action (in base a login_status)
resource, immutable_user_id	security_result.detection_fields	Unito alle etichette di resource e immutable_user_id
inner_descrption, security_description	security_result.description	Valore da inner_descrption o security_description
tuser, username, userid	target.user.userid	Valore da tuser, username o userid
	metadata.product_name	Impostato su "OpenLDAP"
	metadata.vendor_name	Impostato su "OpenLDAP"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.