Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do VMware Tanzu

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do VMware Tanzu no Google Security Operations usando o agente do Bindplane.

O VMware Tanzu é uma plataforma do Kubernetes que gera registros de auditoria formatados em JSON e syslog para eventos do servidor da API Kubernetes, acesso a recursos, decisões de autenticação e mudanças de configuração. O analisador extrai campos de registros de auditoria formatados em JSON e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o Tanzu Operations Manager
Se estiver executando em um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
Acesso privilegiado ao VMware Tanzu

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o Bindplane será instalado.

**Observação** :esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID de cliente da seção Detalhes da organização.

**Observação**: o ID de cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir o syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vmware_tanzu:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VMWARE_TANZU
        raw_log_field: body

service:
    pipelines:
        logs/vmware_tanzu_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vmware_tanzu

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor :
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta syslog padrão (requer raiz no Linux; use 1514 para não raiz)
Configuração do exportador :
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte Endpoints regionais para conferir a lista completa

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, depois Enter e Ctrl+X
- Windows: clique em Arquivo > Salvar

Reiniciar o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está sendo executado:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o observIQ OpenTelemetry Collector.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está sendo executado:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o syslog para o VMware Tanzu

Faça login na UI da Web do Tanzu Operations Manager.
Selecione seu nome de usuário e clique em Configurações.
Selecione Syslog.
Clique em Sim para enviar registros do sistema a um servidor remoto.
Informe os seguintes detalhes de configuração:
- Endereço: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente do Bindplane.
- Protocolo de transporte: selecione UDP ou TCP, dependendo da configuração do agente do Bindplane.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`annotations.authorization.k8s.io/decision`	`security_result.action`	Se a anotação `authorization.k8s.io/decision` existir, o valor dela será convertido em maiúsculas. Se o valor em maiúsculas for "ALLOW", o campo UDM será definido como ALLOW. Caso contrário, será definido como BLOCK.
`annotations.authorization.k8s.io/reason`	`security_result.description`	Se a anotação `authorization.k8s.io/reason` existir, o valor dela (com as aspas duplas removidas) será usado.
`apiVersion`	`metadata.product_version`	Mapeado diretamente.
`auditID`	`metadata.product_log_id`	Mapeado diretamente.
`kind`	`metadata.product_event_type`	Mapeado diretamente.
`objectRef.name`	`target.resource.name`	Mapeado diretamente.
`objectRef.namespace`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	A `key` é definida como "namespace", e o `value` é extraído de `objectRef.namespace`.
`objectRef.resource`	`target.resource.resource_subtype`	Mapeado diretamente.
`objectRef.resourceVersion`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	A `key` é definida como "resourceVersion", e o `value` é extraído de `objectRef.resourceVersion`.
`objectRef.uid`	`target.resource.product_object_id`	Mapeado diretamente.
`requestReceivedTimestamp` / `timestamp`	`metadata.event_timestamp`	O analisador tenta analisar `requestReceivedTimestamp` primeiro. Se ele não estiver presente, o campo `timestamp` extraído do prefixo syslog será usado.
`requestURI`	`target.url`	Mapeado diretamente.
`responseStatus.code`	`network.http.response_code`	Mapeado diretamente após ser convertido em um número inteiro.
`sourceIPs`	`principal.ip`	Todos os endereços IP na matriz `sourceIPs` são adicionados à matriz `principal.ip`.
`stage`	`metadata.description`	Mapeado diretamente.
`stageTimestamp`	`metadata.collected_timestamp`	Mapeado diretamente.
`user.groups`	`principal.user.group_identifiers`	Todos os grupos na matriz `user.groups` são adicionados à matriz `principal.user.group_identifiers`.
`user.uid`	`principal.user.userid`	Mapeado diretamente.
`user.username`	`principal.user.user_display_name`	Mapeado diretamente.
`verb`	`network.http.method`	Mapeado diretamente após ser convertido em maiúsculas. Determinado pelo campo `verb`. Se `verb` for "CREATE", o tipo de evento será `USER_RESOURCE_CREATION`. Se `verb` for "PATCH" ou "UPDATE", o tipo de evento será `USER_RESOURCE_UPDATE_CONTENT`. Se `verb` for "DELETE", o tipo de evento será `USER_RESOURCE_DELETION`. Caso contrário, se `verb` não estiver vazio, o tipo de evento será `USER_RESOURCE_ACCESS`. Se nenhuma dessas condições for atendida, o tipo de evento será definido como `GENERIC_EVENT`. Fixado no código como "VMWARE_TANZU". Fixado no código como "VMWARE". Fixado no código como "VMWARE_TANZU". Fixado no código como "CLUSTER".

Registro de alterações

Consulte o registro de alterações desse analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.