Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di AlgoSec Security Management

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di AlgoSec Security Management in Google Security Operations utilizzando l'agente Bindplane.

AlgoSec Security Management Suite (ASMS) fornisce la gestione delle policy di sicurezza di rete su firewall, SDN e piattaforme cloud. Include Firewall Analyzer per l'analisi di rischi e conformità, FireFlow per l'automazione della gestione dei cambiamenti e AppViz per la visibilità della connettività delle applicazioni.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e le appliance AlgoSec
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato ad AlgoSec Firewall Analyzer, FireFlow e AppViz

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/algosec:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ALGOSEC
        raw_log_field: body

service:
    pipelines:
        logs/algosec_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/algosec

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog per Firewall Analyzer

Accedi all'appliance AFA utilizzando SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```
Aggiungi le seguenti righe per definire il server Syslog remoto:
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- Sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane.
Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
(Facoltativo) Verifica la configurazione di Syslog:
1. Vai ad Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare Syslog per FireFlow

Accedi al computer FireFlow come root.
Apri il file /etc/syslog.conf per modificarlo:
```
vi /etc/syslog.conf
```
Aggiungi la seguente riga al file:
```
local0.*@<BINDPLANE_IP>
```
- Sostituisci <BINDPLANE_IP> con l'indirizzo IP del server dell'agente Bindplane.

Configurare Syslog per AppViz

Accedi all'appliance AppViz tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```
Aggiungi quanto segue per definire il server syslog remoto:
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- Sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane.
Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```
Verifica la configurazione di syslog:
1. Nell'interfaccia di AppViz, vai ad Amministrazione > Impostazioni server Syslog.
2. Fai clic su Testa connettività.

Configurare syslog per gli eventi di accesso e disconnessione

Accedi all'appliance ASMS tramite SSH.
Vai alla directory di configurazione di syslog-ng:
```
cd /etc/syslog-ng
```
Esegui il backup della configurazione esistente:
```
cp syslog-ng.conf syslog-ng.conf.orig
```
Modifica il file di configurazione di syslog-ng:
```
vi syslog-ng.conf
```
Aggiungi quanto segue per definire il server syslog remoto:
```
destination d_remote { udp("<BINDPLANE_IP>" port(514)); };
log { source(s_sys); destination(d_remote); };
```
- Sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane.
Salva ed esci dall'editor.
Riavvia il servizio syslog-ng per applicare le modifiche:
```
service syslog-ng restart
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`by_user`	`principal.user.user_display_name`	Il valore del campo `by_user` del log non elaborato viene assegnato a questo campo UDM.
`collection_time`	`metadata.event_timestamp`	I campi secondi e nanosecondi vengono combinati per creare un timestamp.
`comm`	`target.process.command_line`	Il valore del campo `comm` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`datetime`	`metadata.event_timestamp`	La data e l'ora vengono estratte dal log non elaborato e utilizzate per popolare il timestamp dell'evento.
`desc`	`metadata.description`	Il valore del campo `desc` del log non elaborato viene assegnato a questo campo UDM quando non è disponibile nessun'altra descrizione.
`dest_ip`	`target.ip`	Il valore del campo `dest_ip` del log non elaborato viene assegnato a questo campo UDM.
`dest_port`	`target.port`	Il valore del campo `dest_port` del log non elaborato viene assegnato a questo campo UDM.
`details`	`security_result.summary`	Il valore del campo `details` del log non elaborato viene assegnato a questo campo UDM.
`device`	`principal.asset.hostname`	Il valore del campo `device` del log non elaborato viene assegnato a questo campo UDM.
`dst_ip`	`target.ip`	Il valore del campo `dst_ip` del log non elaborato viene assegnato a questo campo UDM.
`dst_port`	`target.port`	Il valore del campo `dst_port` del log non elaborato viene assegnato a questo campo UDM.
`event_id`	`metadata.product_event_type`	Il valore del campo `event_id` del log non elaborato viene assegnato a questo campo UDM. Viene utilizzato anche nella logica del parser per determinare `metadata.event_type` e altri campi.
`event_name`	`metadata.product_event_type`	Il valore del campo `event_name` del log non elaborato viene assegnato a questo campo UDM.
`firewall`	`target.hostname`	Il valore del campo `firewall` del log non elaborato viene assegnato a questo campo UDM.
`host`	`principal.hostname`	Il valore del campo `host` del log non elaborato viene assegnato a questo campo UDM.
`host_type`	`principal.asset.category`	Il valore del campo `host_type` del log non elaborato viene assegnato a questo campo UDM.
`iporhost`	`principal.ip/principal.hostname/target.ip/target.hostname/observer.ip/observer.hostname`	Se il valore è un indirizzo IP, viene mappato a `principal.ip,target.ip,` o `observer.ip` a seconda dell'origine log e del tipo di evento. Se si tratta di un nome host, viene mappato a `principal.hostname,target.hostname,` o `observer.hostname`.
`IP`	`principal.ip`	Il valore del campo `IP` del log non elaborato viene assegnato a questo campo UDM.
`kv_data`	`security_result.summary`	Il valore del campo `kv_data` del log non elaborato viene assegnato a questo campo UDM.
`log_type`	`metadata.log_type`	Codificato in modo permanente su `ALGOSEC`.
`metric`	`security_result.action_details`	Il valore del campo `metric` del log non elaborato viene assegnato a questo campo UDM.
`msg`	`security_result.summary/security_result.description`	Il valore del campo `msg` del log non elaborato viene utilizzato per compilare il riepilogo o la descrizione del risultato di sicurezza, a seconda del contesto. Viene utilizzato anche per i campi `extractrisk_level,risk_count,risk_code,` e `risk_title`.
`pid`	`target.process.pid`	Il valore del campo `pid` estratto dal campo `desc` utilizzando grok viene assegnato a questo campo UDM.
`product`	`metadata.product_name`	Il valore del campo `product` del log non elaborato viene assegnato a questo campo UDM.
`report`	`security_result.description`	Il valore del campo `report` del log non elaborato è incluso nella descrizione del risultato di sicurezza.
`report_data.Device IP`	`target.ip`	Il valore del campo `Device IP` dei dati JSON analizzati viene assegnato a questo campo UDM.
`report_data.Highest Risk Level`	`security_result.description`	Il valore del campo `Highest Risk Level` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`report_data.Security Rating Score`	`security_result.description`	Il valore del campo `Security Rating Score` dei dati JSON analizzati è incluso nella descrizione del risultato di sicurezza.
`Requestor.Email`	`principal.user.email_addresses`	Il valore del campo `Email` all'interno dell'oggetto `Request` dei dati JSON analizzati viene assegnato a questo campo UDM.
`Requestor.Name`	`principal.user.user_display_name`	Il valore del campo `Name` all'interno dell'oggetto `Requestor` dei dati JSON analizzati viene assegnato a questo campo UDM.
`RequestType`	`target.resource.attribute.labels`	Il valore del campo `RequestType` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
`risk_title`	`security_result.summary`	Il valore del campo `risk_title` del log non elaborato viene assegnato a questo campo UDM.
`src_ip`	`principal.ip`	Il valore del campo `src_ip` del log non elaborato viene assegnato a questo campo UDM.
`src_port`	`principal.port`	Il valore del campo `src_port` del log non elaborato viene assegnato a questo campo UDM.
`status`	`security_result.description/security_result.action_details`	Il valore del campo `status` del log non elaborato è incluso nella descrizione del risultato di sicurezza o nei dettagli dell'azione, a seconda del contesto. Viene utilizzato anche per determinare la gravità del risultato di sicurezza.
`target_app`	`target.application`	Il valore del campo `target_app` del log non elaborato viene assegnato a questo campo UDM.
`TemplateName`	`metadata.description`	Il valore del campo `TemplateName` del log non elaborato viene assegnato a questo campo UDM.
`url`	`security_result.url_back_to_product`	Il valore del campo `url` del log non elaborato viene assegnato a questo campo UDM.
`user`	`principal.user.userid`	Il valore del campo `user` del log non elaborato viene assegnato a questo campo UDM.
`vendor`	`metadata.vendor_name`	Il valore del campo `vendor` del log non elaborato viene assegnato a questo campo UDM.
`version`	`metadata.product_version`	Il valore del campo `version` del log non elaborato viene assegnato a questo campo UDM.
`WorkFlow`	`target.resource.attribute.labels`	Il valore del campo `WorkFlow` del log non elaborato viene aggiunto come etichetta alla risorsa di destinazione.
`(Parser Logic)`	`extensions.auth.type`	Codificato in modo permanente su `MACHINE`.
`(Parser Logic)`	`security_result.action`	Determinato in base a `event_id` e ad altri campi. In genere impostato su `ALLOW or BLOCK`.
`(Parser Logic)`	`security_result.category`	Codificato in modo permanente su `POLICY_VIOLATION` per gli eventi di Firewall Analyzer.
`(Parser Logic)`	`security_result.description`	Costruito in base ad altri campi, fornendo contesto e dettagli sull'evento.
`(Parser Logic)`	`security_result.severity`	Determinato in base a `event_id,msg,` e ad altri campi. In genere impostato su `LOW,MEDIUM,` o "HIGH".
`(Parser Logic)`	`metadata.event_type`	Determinato in base a `event_id` e ad altri campi. Alcuni esempi includono `USER_LOGIN,USER_LOGOUT,USER_RESOURCE_ACCESS,GENERIC_EVENT,STATUS_UNCATEGORIZED,SCAN_HOST,NETWORK_CONNECTION,` e `STATUS_UPDATE`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.