Raccogli i log del firewall AMD Pensando DSS

Supportato in:

Google secops SIEM

Questa guida spiega come importare i log del firewall AMD Pensando DSS in Google Security Operations utilizzando Bindplane. Il parser estrae innanzitutto i campi dai messaggi syslog utilizzando i pattern grok e l'analisi CSV. Poi, mappa i campi estratti agli attributi UDM (Unified Data Model) corrispondenti, arricchendo i dati con un contesto aggiuntivo e standardizzando il formato per l'analisi della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Un host Windows 2016 o versioni successive o Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato all'interfaccia di gestione di AMD Pensando Policy and Services Manager (PSM) o dello switch Aruba CX 10000

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura l'inoltro Syslog sul firewall AMD Pensando DSS

Aruba CX 10000 utilizza l'integrazione Distributed Services Switch (DSS) per scaricare i log del firewall. Per inoltrare questi log a Bindplane, segui questi passaggi.

Configurazione tramite la CLI AOS-CX su Aruba CX 10000

Connettiti allo switch Aruba CX 10000 tramite SSH o console.
Attiva la modalità di configurazione:
```
configure terminal
```
Configura il server syslog remoto con UDP (sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Oppure per TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- o per TLS (se disponibile):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Nota: le porte predefinite sono UDP=514, TCP=1470, TLS=651. Specifica la porta in modo esplicito in modo che corrisponda alla configurazione di Bindplane.
Imposta la struttura syslog:
```
logging facility local0
```
Salva la configurazione:
```
write memory
exit
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
azione	read_only_udm.metadata.product_event_type	Mappatura diretta.
azione	read_only_udm.security_result.action	Se l'azione è "deny", impostala su "BLOCK". Se l'azione è "consenti", imposta "ALLOW".
column10	read_only_udm.network.session_id	Mappatura diretta.
column11	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "security_policy_id".
column12	read_only_udm.security_result.rule_id	Mappatura diretta.
column13	read_only_udm.security_result.rule_name	Mappatura diretta.
column14	read_only_udm.network.sent_packets	Mappatura diretta.
column15	read_only_udm.network.sent_bytes	Mappatura diretta.
column16	read_only_udm.network.received_packets	Mappatura diretta.
column17	read_only_udm.network.received_bytes	Mappatura diretta.
column18	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Mappatura diretta.
column19	read_only_udm.principal.asset.software.name	Mappatura diretta.
colonna2	read_only_udm.metadata.product_event_type	Mappatura diretta.
column20	read_only_udm.principal.asset.software.version	Mappatura diretta.
column21	read_only_udm.principal.asset_id	Concatena "asset_id:" con il valore della colonna 21.
column22	read_only_udm.principal.asset.attribute.labels.value	Mappatura diretta. La chiave è codificata come "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Mappatura diretta. La chiave è codificata come "unit_id".
column24	read_only_udm.metadata.product_version	Mappatura diretta.
column25	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "policy_name".
column25	read_only_udm.security_result.rule_type	Mappatura diretta.
column4	read_only_udm.principal.resource.product_object_id	Mappatura diretta.
column5	read_only_udm.principal.ip	Mappatura diretta.
column6	read_only_udm.principal.port	Mappatura diretta.
column7	read_only_udm.target.ip	Mappatura diretta.
column8	read_only_udm.target.port	Mappatura diretta.
column9	read_only_udm.network.ip_protocol	Mappa il numero di protocollo numerico al nome corrispondente (ad es. 6 per TCP, 17 per UDP).
dip	read_only_udm.target.ip	Mappatura diretta.
dport	read_only_udm.target.port	Mappatura diretta.
dvc	read_only_udm.intermediary.hostname	Se dvc non è un indirizzo IP, mappalo al nome host. In caso contrario, esegui il mapping all'IP.
iflowbytes	read_only_udm.network.sent_bytes	Mappatura diretta.
iflowpkts	read_only_udm.network.sent_packets	Mappatura diretta.
msg_id	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "policy_name".
policy_name	read_only_udm.security_result.rule_type	Mappatura diretta.
proc_id	read_only_udm.target.process.pid	Mappatura diretta.
proc_name	read_only_udm.target.application	Mappatura diretta.
protocol_number_src	read_only_udm.network.ip_protocol	Mappa il numero di protocollo numerico al nome corrispondente (ad es. 6 per TCP, 17 per UDP).
rflowbytes	read_only_udm.network.received_bytes	Mappatura diretta.
rflowpkts	read_only_udm.network.received_packets	Mappatura diretta.
rule_id	read_only_udm.security_result.rule_id	Mappatura diretta.
rule_name	read_only_udm.security_result.rule_name	Mappatura diretta.
sd	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "security_policy_id".
session_id	read_only_udm.network.session_id	Mappatura diretta.
session_state	read_only_udm.metadata.product_event_type	Mappatura diretta.
sip	read_only_udm.principal.ip	Mappatura diretta.
software_version	read_only_udm.principal.asset.software.version	Mappatura diretta.
sport	read_only_udm.principal.port	Mappatura diretta.
ts	read_only_udm.metadata.event_timestamp	Il timestamp del log viene analizzato e formattato nel formato timestamp UDM.
vlan	read_only_udm.additional.fields.value.string_value	Mappatura diretta. La chiave è codificata come "vlan".
	read_only_udm.metadata.event_type	Se sono presenti sia sip che dip, impostalo su "NETWORK_UNCATEGORIZED". Se è presente solo sip, impostalo su "STATUS_UPDATE". In caso contrario, imposta "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Codificato in modo permanente su "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Codificato in modo permanente su "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Codificato in modo permanente su "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Codificato in modo permanente su "VPC_NETWORK".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.