Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux VMware Tanzu

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux VMware Tanzu dans Google Security Operations à l'aide de l'agent Bindplane.

VMware Tanzu est une plate-forme Kubernetes qui génère des journaux d'audit au format JSON et syslog pour les événements du serveur d'API Kubernetes, l'accès aux ressources, les décisions d'authentification et les modifications de configuration. L'analyseur extrait les champs des journaux d'audit au format JSON et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et Tanzu Operations Manager
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à VMware Tanzu

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

**Remarque** : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit s'afficher comme RUNNING (En cours d'exécution).

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez que l'installation se termine.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit s'afficher comme active (running) (Actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et résoudre les problèmes, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vmware_tanzu:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VMWARE_TANZU
        raw_log_field: body

service:
    pipelines:
        logs/vmware_tanzu_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vmware_tanzu

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address: adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite un accès root sur Linux ; utilisez 1514 pour un accès non root).
Configuration de l'exportateur :
- creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consultez la liste complète des points de terminaison régionaux.

Enregistrer le fichier de configuration

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Faites un clic droit et sélectionnez Restart (Redémarrer).
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog pour VMware Tanzu

Connectez-vous à l'interface utilisateur Web Tanzu Operations Manager.
Sélectionnez votre nom d'utilisateur , puis cliquez sur Settings (Paramètres).
Sélectionnez Syslog.
Cliquez sur Yes (Oui) pour envoyer les journaux système à un serveur distant.
Fournissez les informations de configuration suivantes :
- Address (Adresse) : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane.
- Transport Protocol (Protocole de transport) : sélectionnez UDP ou TCP, en fonction de la configuration de votre agent Bindplane.
Cliquez sur Save (Enregistrer).

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`annotations.authorization.k8s.io/decision`	`security_result.action`	Si l'annotation `authorization.k8s.io/decision` existe, sa valeur est convertie en majuscules. Si la valeur en majuscules est "ALLOW", le champ UDM est défini sur ALLOW. Sinon, il est défini sur BLOCK.
`annotations.authorization.k8s.io/reason`	`security_result.description`	Si l'annotation `authorization.k8s.io/reason` existe, sa valeur (sans guillemets doubles) est utilisée.
`apiVersion`	`metadata.product_version`	Mappé directement.
`auditID`	`metadata.product_log_id`	Mappé directement.
`kind`	`metadata.product_event_type`	Mappé directement.
`objectRef.name`	`target.resource.name`	Mappé directement.
`objectRef.namespace`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	La `key` est définie sur "namespace", et la `value` est extraite de `objectRef.namespace`.
`objectRef.resource`	`target.resource.resource_subtype`	Mappé directement.
`objectRef.resourceVersion`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	La `key` est définie sur "resourceVersion", et la `value` est extraite de `objectRef.resourceVersion`.
`objectRef.uid`	`target.resource.product_object_id`	Mappé directement.
`requestReceivedTimestamp` / `timestamp`	`metadata.event_timestamp`	L'analyseur tente d'abord d'analyser `requestReceivedTimestamp`. S'il n'est pas présent, il utilise le champ `timestamp` extrait du préfixe syslog.
`requestURI`	`target.url`	Mappé directement.
`responseStatus.code`	`network.http.response_code`	Mappé directement après avoir été converti en entier.
`sourceIPs`	`principal.ip`	Toutes les adresses IP du tableau `sourceIPs` sont ajoutées au tableau `principal.ip`.
`stage`	`metadata.description`	Mappé directement.
`stageTimestamp`	`metadata.collected_timestamp`	Mappé directement.
`user.groups`	`principal.user.group_identifiers`	Tous les groupes du tableau `user.groups` sont ajoutés au tableau `principal.user.group_identifiers`.
`user.uid`	`principal.user.userid`	Mappé directement.
`user.username`	`principal.user.user_display_name`	Mappé directement.
`verb`	`network.http.method`	Mappé directement après avoir été converti en majuscules. Déterminé par le champ `verb`. Si `verb` est "CREATE", le type d'événement est `USER_RESOURCE_CREATION`. Si `verb` est "PATCH" ou "UPDATE", le type d'événement est `USER_RESOURCE_UPDATE_CONTENT`. Si `verb` est "DELETE", le type d'événement est `USER_RESOURCE_DELETION`. Sinon, si `verb` n'est pas vide, le type d'événement est `USER_RESOURCE_ACCESS`. Si aucune de ces conditions n'est remplie, le type d'événement est défini sur `GENERIC_EVENT`. Codé en dur sur "VMWARE_TANZU". Codé en dur sur "VMWARE". Codé en dur sur "VMWARE_TANZU". Codé en dur sur "CLUSTER".

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.