Recoger registros de cortafuegos de AMD Pensando DSS

Disponible en:

SecOps de Google SIEM

En esta guía se explica cómo puede ingerir registros de firewall de AMD Pensando DSS en Google Security Operations mediante Bindplane. El analizador primero extrae los campos de los mensajes syslog mediante patrones grok y el análisis de CSV. A continuación, asigna los campos extraídos a los atributos correspondientes del modelo de datos unificado (UDM), lo que enriquece los datos con contexto adicional y estandariza su formato para el análisis de seguridad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps
Un host Windows 2016 o posterior, o Linux con systemd
Si se ejecuta a través de un proxy, asegúrese de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la interfaz de gestión del gestor de políticas y servicios (PSM) de AMD Pensando o del switch Aruba CX 10000

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de Windows

Abre la petición de comando o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de root o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <CUSTOMER_ID> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta donde se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar el reenvío de Syslog en el cortafuegos DSS de AMD Pensando

Aruba CX 10000 usa la integración de Distributed Services Switch (DSS) para descargar los registros del cortafuegos. Sigue estos pasos para reenviar estos registros a Bindplane.

Configurar mediante la CLI de AOS-CX en Aruba CX 10000

Conéctate al switch Aruba CX 10000 mediante SSH o la consola.
Entra en el modo de configuración:
```
configure terminal
```
Configura el servidor syslog remoto con UDP (sustituye <BINDPLANE_IP> por la dirección IP de tu agente Bindplane):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- O para TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- O para TLS (si está disponible):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Nota: Los puertos predeterminados son UDP=514, TCP=1470 y TLS=651. Especifica el puerto de forma explícita para que coincida con tu configuración de Bindplane.
Define la instalación de syslog:
```
logging facility local0
```
Guarda la configuración:
```
write memory
exit
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
acción	read_only_udm.metadata.product_event_type	Asignación directa.
acción	read_only_udm.security_result.action	Si la acción es "denegar", asigna el valor "BLOCK". Si la acción es "allow", asigna el valor "ALLOW".
column10	read_only_udm.network.session_id	Asignación directa.
column11	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se codifica como "security_policy_id".
column12	read_only_udm.security_result.rule_id	Asignación directa.
column13	read_only_udm.security_result.rule_name	Asignación directa.
column14	read_only_udm.network.sent_packets	Asignación directa.
column15	read_only_udm.network.sent_bytes	Asignación directa.
column16	read_only_udm.network.received_packets	Asignación directa.
column17	read_only_udm.network.received_bytes	Asignación directa.
column18	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se codifica como "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Asignación directa.
column19	read_only_udm.principal.asset.software.name	Asignación directa.
columna2	read_only_udm.metadata.product_event_type	Asignación directa.
column20	read_only_udm.principal.asset.software.version	Asignación directa.
column21	read_only_udm.principal.asset_id	Concatena "asset_id:" con el valor de la columna 21.
column22	read_only_udm.principal.asset.attribute.labels.value	Asignación directa. La clave se codifica como "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Asignación directa. La clave se ha codificado de forma fija como "unit_id".
column24	read_only_udm.metadata.product_version	Asignación directa.
column25	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se ha codificado como "policy_name".
column25	read_only_udm.security_result.rule_type	Asignación directa.
column4	read_only_udm.principal.resource.product_object_id	Asignación directa.
column5	read_only_udm.principal.ip	Asignación directa.
column6	read_only_udm.principal.port	Asignación directa.
column7	read_only_udm.target.ip	Asignación directa.
column8	read_only_udm.target.port	Asignación directa.
column9	read_only_udm.network.ip_protocol	Asigna el número de protocolo numérico a su nombre correspondiente (por ejemplo, 6 para TCP y 17 para UDP.
inmersión	read_only_udm.target.ip	Asignación directa.
dport	read_only_udm.target.port	Asignación directa.
dvc	read_only_udm.intermediary.hostname	Si dvc no es una dirección IP, asigna el nombre de host. De lo contrario, asigna la IP.
iflowbytes	read_only_udm.network.sent_bytes	Asignación directa.
iflowpkts	read_only_udm.network.sent_packets	Asignación directa.
msg_id	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se codifica como "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se ha codificado como "policy_name".
policy_name	read_only_udm.security_result.rule_type	Asignación directa.
proc_id	read_only_udm.target.process.pid	Asignación directa.
proc_name	read_only_udm.target.application	Asignación directa.
protocol_number_src	read_only_udm.network.ip_protocol	Asigna el número de protocolo numérico a su nombre correspondiente (por ejemplo, 6 para TCP y 17 para UDP.
rflowbytes	read_only_udm.network.received_bytes	Asignación directa.
rflowpkts	read_only_udm.network.received_packets	Asignación directa.
rule_id	read_only_udm.security_result.rule_id	Asignación directa.
rule_name	read_only_udm.security_result.rule_name	Asignación directa.
sd	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se ha codificado como "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se codifica como "security_policy_id".
session_id	read_only_udm.network.session_id	Asignación directa.
session_state	read_only_udm.metadata.product_event_type	Asignación directa.
sip	read_only_udm.principal.ip	Asignación directa.
software_version	read_only_udm.principal.asset.software.version	Asignación directa.
deporte	read_only_udm.principal.port	Asignación directa.
ts	read_only_udm.metadata.event_timestamp	La marca de tiempo del registro se analiza y se le da formato de marca de tiempo de UDM.
vlan	read_only_udm.additional.fields.value.string_value	Asignación directa. La clave se codifica como "vlan".
	read_only_udm.metadata.event_type	Si están presentes tanto sip como dip, se asigna el valor "NETWORK_UNCATEGORIZED". Si solo está presente sip, se debe asignar el valor "STATUS_UPDATE". De lo contrario, se asigna el valor "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Codificado como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Codificado como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Codificado como "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Codificado como "VPC_NETWORK".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.