Collecter les journaux de pare-feu AMD Pensando DSS

Compatible avec :

Google SecOps SIEM

Ce guide explique comment ingérer des journaux de pare-feu AMD Pensando DSS dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait d'abord les champs des messages syslog à l'aide de modèles Grok et de l'analyse CSV. Il mappe ensuite les champs extraits aux attributs UDM (Unified Data Model) correspondants, en enrichissant les données avec un contexte supplémentaire et en standardisant leur format pour l'analyse de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Un hôte Windows 2016 ou version ultérieure, ou Linux avec systemd
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface de gestion du gestionnaire de stratégies et de services (PSM) AMD Pensando ou du switch Aruba CX 10000

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <CUSTOMER_ID> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le transfert Syslog sur le pare-feu AMD Pensando DSS

L'Aruba CX 10000 utilise l'intégration Distributed Services Switch (DSS) pour décharger les journaux de pare-feu. Pour transférer ces journaux vers Bindplane, procédez comme suit.

Configurer via la CLI AOS-CX sur Aruba CX 10000

Connectez-vous au commutateur Aruba CX 10000 via SSH ou la console.
Passez en mode configuration :
```
configure terminal
```
Configurez le serveur syslog distant avec UDP (remplacez <BINDPLANE_IP> par l'adresse IP de votre agent Bindplane) :
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Ou pour TCP :
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- Ou pour TLS (si disponible) :
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Remarque : Les ports par défaut sont UDP=514, TCP=1470 et TLS=651. Spécifiez explicitement le port pour qu'il corresponde à votre configuration Bindplane.
Définissez le niveau syslog :
```
logging facility local0
```
Enregistrez la configuration :
```
write memory
exit
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
action	read_only_udm.metadata.product_event_type	Mappage direct.
action	read_only_udm.security_result.action	Si l'action est "deny" (refuser), définissez-la sur "BLOCK" (BLOQUER). Si l'action est "allow" (autoriser), définissez la valeur sur "ALLOW".
column10	read_only_udm.network.session_id	Mappage direct.
column11	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "security_policy_id".
column12	read_only_udm.security_result.rule_id	Mappage direct.
column13	read_only_udm.security_result.rule_name	Mappage direct.
column14	read_only_udm.network.sent_packets	Mappage direct.
column15	read_only_udm.network.sent_bytes	Mappage direct.
column16	read_only_udm.network.received_packets	Mappage direct.
column17	read_only_udm.network.received_bytes	Mappage direct.
column18	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Mappage direct.
column19	read_only_udm.principal.asset.software.name	Mappage direct.
column2	read_only_udm.metadata.product_event_type	Mappage direct.
column20	read_only_udm.principal.asset.software.version	Mappage direct.
column21	read_only_udm.principal.asset_id	Concatène "asset_id:" avec la valeur de la colonne 21.
column22	read_only_udm.principal.asset.attribute.labels.value	Mappage direct. La clé est codée en dur sous le nom "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Mappage direct. La clé est codée en dur sous la forme "unit_id".
column24	read_only_udm.metadata.product_version	Mappage direct.
column25	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous le nom "policy_name".
column25	read_only_udm.security_result.rule_type	Mappage direct.
column4	read_only_udm.principal.resource.product_object_id	Mappage direct.
column5	read_only_udm.principal.ip	Mappage direct.
column6	read_only_udm.principal.port	Mappage direct.
column7	read_only_udm.target.ip	Mappage direct.
column8	read_only_udm.target.port	Mappage direct.
column9	read_only_udm.network.ip_protocol	Associe le numéro de protocole numérique à son nom correspondant (par exemple, 6 pour TCP et 17 pour UDP).
baisse	read_only_udm.target.ip	Mappage direct.
dport	read_only_udm.target.port	Mappage direct.
dvc	read_only_udm.intermediary.hostname	Si dvc n'est pas une adresse IP, mappez-le au nom d'hôte. Sinon, mappez sur l'adresse IP.
iflowbytes	read_only_udm.network.sent_bytes	Mappage direct.
iflowpkts	read_only_udm.network.sent_packets	Mappage direct.
msg_id	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous le nom "policy_name".
policy_name	read_only_udm.security_result.rule_type	Mappage direct.
proc_id	read_only_udm.target.process.pid	Mappage direct.
proc_name	read_only_udm.target.application	Mappage direct.
protocol_number_src	read_only_udm.network.ip_protocol	Associe le numéro de protocole numérique à son nom correspondant (par exemple, 6 pour TCP et 17 pour UDP).
rflowbytes	read_only_udm.network.received_bytes	Mappage direct.
rflowpkts	read_only_udm.network.received_packets	Mappage direct.
rule_id	read_only_udm.security_result.rule_id	Mappage direct.
rule_name	read_only_udm.security_result.rule_name	Mappage direct.
sd	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "security_policy_id".
session_id	read_only_udm.network.session_id	Mappage direct.
session_state	read_only_udm.metadata.product_event_type	Mappage direct.
sip	read_only_udm.principal.ip	Mappage direct.
software_version	read_only_udm.principal.asset.software.version	Mappage direct.
sport	read_only_udm.principal.port	Mappage direct.
ts	read_only_udm.metadata.event_timestamp	L'horodatage du journal est analysé et mis au format UDM.
vlan	read_only_udm.additional.fields.value.string_value	Mappage direct. La clé est codée en dur sous la forme "vlan".
	read_only_udm.metadata.event_type	Si sip et dip sont tous deux présents, définissez la valeur sur "NETWORK_UNCATEGORIZED". Si seul le SIP est présent, définissez-le sur "STATUS_UPDATE". Sinon, définissez-le sur "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Codé en dur sur "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Codé en dur sur "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Codé en dur sur "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Codé en dur sur "VPC_NETWORK".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.