Coletar registros da plataforma de serviço de fibra da ADVA

Este documento explica como ingerir registros da plataforma de serviços de fibra (FSP, na sigla em inglês) da ADVA no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens syslog do switch e do roteador, convertendo-os em pares de chave-valor. Em seguida, ele mapeia esses campos extraídos e os valores deles para os campos correspondentes no esquema UDM do Chronicle, enriquecendo os dados para análise de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps
• Um host Windows 2012 SP2 ou posterior ou Linux com systemd
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
• Acesso privilegiado ao console de gerenciamento de dispositivos FSP da ADVA.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml. Confira duas opções de receptor em funcionamento. Escolha aquela que corresponde à forma como seu dispositivo envia registros:

   • Opção A: receptor de registros UDP (UDP simples)

   receivers:
     udplog:
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: 'ADVA_FSP'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/adva-fsp:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Opção B: receptor Syslog (recomendado para enquadramento estrito do Syslog)

   receivers:
     syslog:
       tcp:
         listen_address: "0.0.0.0:514"
       protocol: rfc5424   # or rfc3164 if your device uses BSD syslog
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       log_type: 'ADVA_FSP'
       raw_log_field: body
       ingestion_labels:
         source: 'adva-fsp'
         env: 'production'
   
   service:
     pipelines:
       logs/adva-fsp:
         receivers:
           - syslog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <CUSTOMER_ID> pelo ID do cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

  Configurar o encaminhamento do Syslog no ADVA FSP

1. Faça login no ADVA FSP Management Console.
2. Acesse Nó > Geral > Controles.
3. Na seção Destinatários de eventos remotos (SysLog), clique em Adicionar.
4. Informe os seguintes detalhes de configuração:
   • Endereço IPv4/v6: insira o endereço IP do agente do Bindplane.
   • Porta: insira o número da porta do agente Bindplane (por exemplo, 514).
   • Protocolo: selecione UDP ou TCP, dependendo da configuração real do agente do Bindplane.
   • Extensão de mensagem: opcional: clique em Adicionar rótulo do usuário para incluir outros identificadores nas mensagens.
5. Clique em Salvar para ativar a configuração.

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.