Coletar registros do MySQL

Este documento explica como ingerir registros do MySQL no Google Security Operations usando o agente Bindplane.

O MySQL é um sistema de gerenciamento de banco de dados relacional que gera mensagens syslog para eventos de autenticação, execução de consultas, operações de banco de dados e entradas de trilha de auditoria. O analisador extrai campos de registros de auditoria formatados em syslog e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Windows Server 2016 ou mais recente ou host Linux com systemd
• Conectividade de rede entre o agente do Bindplane e o servidor MySQL
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
• Acesso SSH ao host do MySQL com privilégios root ou sudo

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão.

4. Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.

3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o prompt de comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. Aguarde a conclusão da instalação.

4. Execute o seguinte comando para confirmar a instalação:

   sc query observiq-otel-collector
   

   O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. Aguarde a conclusão da instalação.

4. Execute o seguinte comando para confirmar a instalação:

   sudo systemctl status observiq-otel-collector
   

   O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

• Linux:

  sudo nano /opt/observiq-otel-collector/config.yaml
  

• Windows:

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

Editar o arquivo de configuração

• Substitua todo o conteúdo de config.yaml pela seguinte configuração:

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/mysql:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<customer_id>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: MYSQL
          raw_log_field: body
  
  service:
      pipelines:
          logs/mysql_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/mysql
  

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

• Configuração do receptor:

  • listen_address: endereço IP e porta a serem detectados:
    • 0.0.0.0 para detectar em todas as interfaces (recomendado)
    • A porta 514 é a porta padrão do syslog. Ela exige acesso root no Linux. Use 1514 para acesso não root.

• Configuração do exportador:

  • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
    • Linux: /etc/bindplane-agent/ingestion-auth.json
    • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id: ID do cliente copiado do console do Google SecOps
  • endpoint: URL do endpoint regional:
    • EUA: malachiteingestion-pa.googleapis.com
    • Europa: europe-malachiteingestion-pa.googleapis.com
    • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
    • Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

• Depois de editar, salve o arquivo:
  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart observiq-otel-collector
  

  1. Verifique se o serviço está em execução:

     sudo systemctl status observiq-otel-collector
     

  2. Verifique se há erros nos registros:

     sudo journalctl -u observiq-otel-collector -f
     

• Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:

  • Prompt de comando ou PowerShell como administrador:

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • Console de serviços:

    1. Pressione Win+R, digite services.msc e pressione Enter.
    2. Localize o Coletor do OpenTelemetry da observIQ.
    3. Clique com o botão direito do mouse e selecione Reiniciar.

    4. Verifique se o serviço está em execução:

       sc query observiq-otel-collector
       

    5. Verifique se há erros nos registros:

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Configurar o syslog no MySQL

1. Faça login no host do MySQL usando SSH.

2. Conecte-se ao banco de dados MySQL:

   mysql -u root -p
   

3. Verifique o plug-in de auditoria server_audit.so:

   show variables like 'plugin_dir';
   

4. Se o plug-in não for encontrado, instale-o:

   install plugin server_audit soname 'server_audit.so';
   

5. Confirme se o plug-in está Instalado e Ativado:

   show plugins;
   

6. Edite o arquivo /etc/my.cnf e ative as seguintes configurações de auditoria:

   server_audit_events='CONNECT,QUERY,TABLE'
   server_audit_file_path=server_audit.log
   server_audit_logging=ON
   server_audit_output_type=SYSLOG
   server_audit_syslog_facility=LOG_LOCAL6
   

7. Verifique as variáveis de auditoria:

   show global variables like "server_audit%";
   

8. Verifique se a auditoria está ativada:

   Show global status like 'server_audit%';
   

9. Edite o arquivo /etc/rsyslog.conf para ativar o encaminhamento via UDP:

   *.* @@<bindplane-agent-ip>:<bindplane-agent-port>
   

   • Substitua <bindplane-agent-ip> e <bindplane-agent-port> pela configuração do agente do Bindplane.

10. Reinicie o serviço do MySQL:

    /etc/init.d/mysqld restart
    

Tabela de mapeamento do UDM

Registro de alterações

Ver o registro de alterações deste analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.