Raccogli i log della piattaforma di servizi in fibra ADVA

Questo documento spiega come importare i log di ADVA Fiber Service Platform (ADVA FSP) in Google Security Operations utilizzando Bindplane. L'analizzatore sintattico estrae i campi dai messaggi syslog di switch e router, convertendoli in coppie chiave-valore. Quindi, mappa questi campi estratti e i relativi valori con i campi corrispondenti nello schema UDM di Chronicle, arricchendo i dati per l'analisi della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Un host Windows 2012 SP2 o versioni successive o Linux con systemd
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
• Accesso privilegiato alla console di gestione dei dispositivi ADVA FSP

Recuperare il file di autenticazione dell'importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml. Di seguito sono riportate due opzioni di ricevitore funzionanti. Scegli quella che corrisponde al modo in cui il tuo dispositivo invia i log:

   • Opzione A - Ricevitore log UDP (UDP semplice)

   receivers:
     udplog:
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: 'ADVA_FSP'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/adva-fsp:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Opzione B: ricevitore Syslog (consigliata per l'inquadratura Syslog rigorosa)

   receivers:
     syslog:
       tcp:
         listen_address: "0.0.0.0:514"
       protocol: rfc5424   # or rfc3164 if your device uses BSD syslog
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: 'ADVA_FSP'
       raw_log_field: body
       ingestion_labels:
         source: 'adva-fsp'
         env: 'production'
   
   service:
     pipelines:
       logs/adva-fsp:
         receivers:
           - syslog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
   • Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

  Configura l'inoltro di Syslog su ADVA FSP

1. Accedi alla console di gestione ADVA FSP.
2. Vai a Nodo > Generale > Controlli.
3. Nella sezione Destinatari eventi remoti (SysLog), fai clic su Aggiungi.
4. Fornisci i seguenti dettagli di configurazione:
   • Indirizzo IPv4/v6: inserisci l'indirizzo IP dell'agente Bindplane.
   • Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 514).
   • Protocollo: seleziona UDP o TCP, a seconda della configurazione effettiva dell'agente Bindplane.
   • Estensione di messaggistica: (facoltativo) fai clic su Aggiungi etichetta utente per includere identificatori aggiuntivi nei messaggi.
5. Fai clic su Salva per attivare la configurazione.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.