Collecter les journaux Dell CyberSense

Ce document explique comment ingérer les journaux Dell PowerProtect CyberSense dans Google Security Operations à l'aide de Bindplane.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Instance Google SecOps
• Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
• Si l'exécution se fait derrière un proxy, les ports du pare-feu sont ouverts.
• Accès privilégié à Dell PowerProtect

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration :
   • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'DELL_CYBERSENSE'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès du fichier d'authentification enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer Syslog pour Dell CyberSense

1. Connectez-vous à Dell PowerProtect à l'aide de la CLI.
2. Modifiez le fichier /etc/audisp/plugins.d/syslog.conf pour qu'il contienne active = yes, puis enregistrez-le et quittez-le.

3. Ouvrez le fichier à l'aide de vi, saisissez la commande suivante, puis enregistrez et quittez le fichier. Vous pouvez enregistrer le fichier et quitter l'éditeur en saisissant :wq:

   $ModLoad imfile
   $InputFileName /var/log/audit/audit.log
   $InputFileTag tag_audit_log:
   $InputFileStateFile audit_log
   $InputFileSeverity info
   $InputFileFacility local6
   $InputRunFileMonitor
   
   *.* @<Bindplane_IP>:514
   

   • Remplacez <Bindplane_IP> par l'adresse IP de l'agent Bindplane.

4. Redémarrez le service rsyslog:

   service rsyslog restart
   

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.