AMD Pensando DSS-Firewall-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Leitfaden wird beschrieben, wie Sie AMD Pensando DSS-Firewall-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert zuerst Felder aus den Syslog-Nachrichten mithilfe von Grok-Mustern und CSV-Parsing. Anschließend werden die extrahierten Felder den entsprechenden UDM-Attributen (Unified Data Model) zugeordnet, um die Daten mit zusätzlichem Kontext anzureichern und ihr Format für Sicherheitsanalysen zu standardisieren.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder höher- oder Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die AMD Pensando Policy and Services Manager- (PSM-) oder Aruba CX 10000-Switch-Verwaltungsschnittstelle

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung auf der AMD Pensando DSS-Firewall konfigurieren

Der Aruba CX10000 verwendet die DSS-Integration (Distributed Services Switch), um Firewall-Logs auszulagern. So leiten Sie diese Logs an Bindplane weiter:

Über die AOS-CX-Befehlszeile auf Aruba CX 10000 konfigurieren

Stellen Sie über SSH oder die Konsole eine Verbindung zum Aruba CX10000-Switch her.
Konfigurationsmodus aufrufen:
```
configure terminal
```
Konfigurieren Sie den Remote-Syslog-Server mit UDP (ersetzen Sie <BINDPLANE_IP> durch die IP-Adresse Ihres Bindplane-Agents):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Oder für TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- Oder für TLS (falls verfügbar):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Hinweis :Die Standardports sind UDP=514, TCP=1470, TLS=651. Geben Sie den Port explizit an, damit er mit Ihrer Bindplane-Konfiguration übereinstimmt.
Syslog-Einrichtung festlegen:
```
logging facility local0
```
Konfiguration speichern:
```
write memory
exit
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Aktion	read_only_udm.metadata.product_event_type	Direkte Zuordnung
Aktion	read_only_udm.security_result.action	Wenn die Aktion „deny“ ist, setzen Sie sie auf „BLOCK“. Wenn die Aktion „allow“ lautet, setzen Sie den Wert auf „ALLOW“.
column10	read_only_udm.network.session_id	Direkte Zuordnung
column11	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „security_policy_id“ hartcodiert.
column12	read_only_udm.security_result.rule_id	Direkte Zuordnung
column13	read_only_udm.security_result.rule_name	Direkte Zuordnung
column14	read_only_udm.network.sent_packets	Direkte Zuordnung
column15	read_only_udm.network.sent_bytes	Direkte Zuordnung
column16	read_only_udm.network.received_packets	Direkte Zuordnung
column17	read_only_udm.network.received_bytes	Direkte Zuordnung
column18	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „vlan“ hartcodiert.
column19	read_only_udm.principal.asset.software.vendor_name	Direkte Zuordnung
column19	read_only_udm.principal.asset.software.name	Direkte Zuordnung
Spalte2	read_only_udm.metadata.product_event_type	Direkte Zuordnung
column20	read_only_udm.principal.asset.software.version	Direkte Zuordnung
column21	read_only_udm.principal.asset_id	Verkettet „asset_id:“ mit dem Wert von column21.
column22	read_only_udm.principal.asset.attribute.labels.value	Direkte Zuordnung Der Schlüssel ist als „device_name“ hartcodiert.
column23	read_only_udm.principal.asset.attribute.labels.value	Direkte Zuordnung Der Schlüssel ist als „unit_id“ hartcodiert.
column24	read_only_udm.metadata.product_version	Direkte Zuordnung
column25	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „policy_name“ hartcodiert.
column25	read_only_udm.security_result.rule_type	Direkte Zuordnung
Spalte4	read_only_udm.principal.resource.product_object_id	Direkte Zuordnung
column5	read_only_udm.principal.ip	Direkte Zuordnung
column6	read_only_udm.principal.port	Direkte Zuordnung
column7	read_only_udm.target.ip	Direkte Zuordnung
column8	read_only_udm.target.port	Direkte Zuordnung
column9	read_only_udm.network.ip_protocol	Ordnet die numerische Protokollnummer dem entsprechenden Namen zu (z.B. 6 für TCP, 17 für UDP).
Einbruch	read_only_udm.target.ip	Direkte Zuordnung
dport	read_only_udm.target.port	Direkte Zuordnung
dvc	read_only_udm.intermediary.hostname	Wenn „dvc“ keine IP-Adresse ist, ordnen Sie sie dem Hostnamen zu. Andernfalls wird die IP-Adresse zugeordnet.
iflowbytes	read_only_udm.network.sent_bytes	Direkte Zuordnung
iflowpkts	read_only_udm.network.sent_packets	Direkte Zuordnung
msg_id	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „msg_id“ hartcodiert.
policy_name	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „policy_name“ hartcodiert.
policy_name	read_only_udm.security_result.rule_type	Direkte Zuordnung
proc_id	read_only_udm.target.process.pid	Direkte Zuordnung
proc_name	read_only_udm.target.application	Direkte Zuordnung
protocol_number_src	read_only_udm.network.ip_protocol	Ordnet die numerische Protokollnummer dem entsprechenden Namen zu (z.B. 6 für TCP, 17 für UDP).
rflowbytes	read_only_udm.network.received_bytes	Direkte Zuordnung
rflowpkts	read_only_udm.network.received_packets	Direkte Zuordnung
rule_id	read_only_udm.security_result.rule_id	Direkte Zuordnung
rule_name	read_only_udm.security_result.rule_name	Direkte Zuordnung
sd	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „sd“ hartcodiert.
security_policy_id	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „security_policy_id“ hartcodiert.
session_id	read_only_udm.network.session_id	Direkte Zuordnung
session_state	read_only_udm.metadata.product_event_type	Direkte Zuordnung
sip	read_only_udm.principal.ip	Direkte Zuordnung
software_version	read_only_udm.principal.asset.software.version	Direkte Zuordnung
sport	read_only_udm.principal.port	Direkte Zuordnung
ts	read_only_udm.metadata.event_timestamp	Der Zeitstempel aus dem Log wird geparst und in das UDM-Zeitstempelformat formatiert.
vlan	read_only_udm.additional.fields.value.string_value	Direkte Zuordnung Der Schlüssel ist als „vlan“ hartcodiert.
	read_only_udm.metadata.event_type	Wenn sowohl „sip“ als auch „dip“ vorhanden sind, legen Sie den Wert auf „NETWORK_UNCATEGORIZED“ fest. Wenn nur „sip“ vorhanden ist, wird „STATUS_UPDATE“ festgelegt. Andernfalls auf „GENERIC_EVENT“ setzen.
	read_only_udm.metadata.log_type	Fest codiert auf „AMD_DSS_FIREWALL“.
	read_only_udm.metadata.product_name	Fest codiert auf „AMD_DSS_FIREWALL“.
	read_only_udm.metadata.vendor_name	Fest codiert auf „AMD_DSS_FIREWALL“.
	read_only_udm.principal.resource.resource_type	Fest codiert auf „VPC_NETWORK“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten