Recopila registros del firewall de AMD Pensando DSS

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En esta guía, se explica cómo puedes transferir registros del firewall de AMD Pensando DSS a Google Security Operations con Bindplane. Primero, el analizador extrae los campos de los mensajes de syslog con patrones de grok y análisis de CSV. Luego, asigna los campos extraídos a los atributos correspondientes del UDM (modelo de datos unificado), lo que enriquece los datos con contexto adicional y estandariza su formato para el análisis de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows 2016 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la interfaz de administración del conmutador AMD Pensando Policy and Services Manager (PSM) o Aruba CX 10000

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <CUSTOMER_ID> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de Syslog en el firewall de AMD Pensando DSS

El Aruba CX 10000 usa la integración del conmutador de servicios distribuidos (DSS) para descargar los registros del firewall. Sigue estos pasos para reenviar estos registros a Bindplane.

Configuración a través de la CLI de AOS-CX en Aruba CX 10000

Conéctate al conmutador Aruba CX 10000 a través de SSH o la consola.
Ingresa al modo de configuración:
```
configure terminal
```
Configura el servidor syslog remoto con UDP (reemplaza <BINDPLANE_IP> por la dirección IP de tu agente de Bindplane):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- O para TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- O bien, para TLS (si está disponible):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Nota: Los puertos predeterminados son UDP=514, TCP=1470 y TLS=651. Especifica el puerto de forma explícita para que coincida con la configuración de Bindplane.
Establece la instalación de syslog:
```
logging facility local0
```
Guarda la configuración:
```
write memory
exit
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
acción	read_only_udm.metadata.product_event_type	Asignación directa
acción	read_only_udm.security_result.action	Si la acción es "deny", se debe establecer como "BLOCK". Si la acción es "allow", se debe establecer como "ALLOW".
column10	read_only_udm.network.session_id	Asignación directa
column11	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "security_policy_id".
column12	read_only_udm.security_result.rule_id	Asignación directa
column13	read_only_udm.security_result.rule_name	Asignación directa
column14	read_only_udm.network.sent_packets	Asignación directa
column15	read_only_udm.network.sent_bytes	Asignación directa
column16	read_only_udm.network.received_packets	Asignación directa
column17	read_only_udm.network.received_bytes	Asignación directa
column18	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Asignación directa
column19	read_only_udm.principal.asset.software.name	Asignación directa
column2	read_only_udm.metadata.product_event_type	Asignación directa
column20	read_only_udm.principal.asset.software.version	Asignación directa
column21	read_only_udm.principal.asset_id	Concatena "asset_id:" con el valor de la columna21.
column22	read_only_udm.principal.asset.attribute.labels.value	Asignación directa La clave está codificada como "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Asignación directa La clave está codificada como "unit_id".
column24	read_only_udm.metadata.product_version	Asignación directa
column25	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "policy_name".
column25	read_only_udm.security_result.rule_type	Asignación directa
column4	read_only_udm.principal.resource.product_object_id	Asignación directa
column5	read_only_udm.principal.ip	Asignación directa
column6	read_only_udm.principal.port	Asignación directa
column7	read_only_udm.target.ip	Asignación directa
column8	read_only_udm.target.port	Asignación directa
column9	read_only_udm.network.ip_protocol	Asigna el número de protocolo numérico a su nombre correspondiente (p.ej., 6 para TCP y 17 para UDP.
inmersión	read_only_udm.target.ip	Asignación directa
dport	read_only_udm.target.port	Asignación directa
dvc	read_only_udm.intermediary.hostname	Si dvc no es una dirección IP, se debe asignar al nombre de host. De lo contrario, se asignará a la IP.
iflowbytes	read_only_udm.network.sent_bytes	Asignación directa
iflowpkts	read_only_udm.network.sent_packets	Asignación directa
msg_id	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "policy_name".
policy_name	read_only_udm.security_result.rule_type	Asignación directa
proc_id	read_only_udm.target.process.pid	Asignación directa
proc_name	read_only_udm.target.application	Asignación directa
protocol_number_src	read_only_udm.network.ip_protocol	Asigna el número de protocolo numérico a su nombre correspondiente (p.ej., 6 para TCP y 17 para UDP.
rflowbytes	read_only_udm.network.received_bytes	Asignación directa
rflowpkts	read_only_udm.network.received_packets	Asignación directa
rule_id	read_only_udm.security_result.rule_id	Asignación directa
rule_name	read_only_udm.security_result.rule_name	Asignación directa
sd	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "security_policy_id".
session_id	read_only_udm.network.session_id	Asignación directa
session_state	read_only_udm.metadata.product_event_type	Asignación directa
sip	read_only_udm.principal.ip	Asignación directa
software_version	read_only_udm.principal.asset.software.version	Asignación directa
deporte	read_only_udm.principal.port	Asignación directa
ts	read_only_udm.metadata.event_timestamp	La marca de tiempo del registro se analiza y se le da formato de marca de tiempo de UDM.
vlan	read_only_udm.additional.fields.value.string_value	Asignación directa La clave está codificada como "vlan".
	read_only_udm.metadata.event_type	Si están presentes sip y dip, se debe establecer en "NETWORK_UNCATEGORIZED". Si solo está presente el SIP, se establece en "STATUS_UPDATE". De lo contrario, se establece como "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Está codificado como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Está codificado como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Está codificado como "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Está codificado como "VPC_NETWORK".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.