AMD Pensando DSS ファイアウォールログを収集する

以下でサポートされています。

Google SecOps SIEM

このガイドでは、Bindplane を使用して AMD Pensando DSS ファイアウォールログを Google Security Operations に取り込む方法について説明します。パーサーは、まず grok パターンと CSV 解析を使用して syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドを対応する UDM（統合データモデル）属性にマッピングし、追加のコンテキストでデータを拡充して、セキュリティ分析用に形式を標準化します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
AMD Pensando Policy and Services Manager（PSM）または Aruba CX 10000 スイッチ管理インターフェースへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<CUSTOMER_ID> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

AMD Pensando DSS Firewall で Syslog 転送を構成する

Aruba CX 10000 は、分散サービススイッチ（DSS）統合を使用してファイアウォールログをオフロードします。これらのログを Bindplane に転送する手順は次のとおりです。

Aruba CX 10000 で AOS-CX CLI を使用して構成する

SSH またはコンソールを使用して Aruba CX 10000 スイッチに接続します。
構成モードに入ります。
```
configure terminal
```
UDP を使用してリモート Syslog サーバーを構成します（<BINDPLANE_IP> は Bindplane エージェントの IP アドレスに置き換えます）。
```
logging <BINDPLANE_IP> udp 514 severity info
```
- TCP の場合:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- または、TLS（利用可能な場合）の場合:
```
logging <BINDPLANE_IP> tls 6514 severity info
```
注: デフォルトのポートは UDP=514、TCP=1470、TLS=651 です。Bindplane の構成に合わせてポートを明示的に指定します。
syslog ファシリティを設定します。
```
logging facility local0
```
構成を保存します。
```
write memory
exit
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
アクション	read_only_udm.metadata.product_event_type	直接マッピング。
アクション	read_only_udm.security_result.action	アクションが「deny」の場合、「BLOCK」に設定します。アクションが「allow」の場合は、「ALLOW」に設定します。
column10	read_only_udm.network.session_id	直接マッピング。
column11	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「security_policy_id」としてハードコードされています。
column12	read_only_udm.security_result.rule_id	直接マッピング。
column13	read_only_udm.security_result.rule_name	直接マッピング。
column14	read_only_udm.network.sent_packets	直接マッピング。
column15	read_only_udm.network.sent_bytes	直接マッピング。
column16	read_only_udm.network.received_packets	直接マッピング。
column17	read_only_udm.network.received_bytes	直接マッピング。
column18	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「vlan」としてハードコードされています。
column19	read_only_udm.principal.asset.software.vendor_name	直接マッピング。
column19	read_only_udm.principal.asset.software.name	直接マッピング。
column2	read_only_udm.metadata.product_event_type	直接マッピング。
column20	read_only_udm.principal.asset.software.version	直接マッピング。
column21	read_only_udm.principal.asset_id	「asset_id:」と column21 の値を連結します。
column22	read_only_udm.principal.asset.attribute.labels.value	直接マッピング。キーは「device_name」としてハードコードされています。
column23	read_only_udm.principal.asset.attribute.labels.value	直接マッピング。キーは「unit_id」としてハードコードされています。
column24	read_only_udm.metadata.product_version	直接マッピング。
column25	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「policy_name」としてハードコードされています。
column25	read_only_udm.security_result.rule_type	直接マッピング。
column4	read_only_udm.principal.resource.product_object_id	直接マッピング。
column5	read_only_udm.principal.ip	直接マッピング。
column6	read_only_udm.principal.port	直接マッピング。
column7	read_only_udm.target.ip	直接マッピング。
column8	read_only_udm.target.port	直接マッピング。
column9	read_only_udm.network.ip_protocol	数値のプロトコル番号を対応する名前にマッピングします（例: 6（TCP）、17（UDP））。
dip	read_only_udm.target.ip	直接マッピング。
dport	read_only_udm.target.port	直接マッピング。
dvc	read_only_udm.intermediary.hostname	dvc が IP アドレスでない場合は、ホスト名にマッピングします。それ以外の場合は、IP にマッピングします。
iflowbytes	read_only_udm.network.sent_bytes	直接マッピング。
iflowpkts	read_only_udm.network.sent_packets	直接マッピング。
msg_id	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「msg_id」としてハードコードされています。
policy_name	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「policy_name」としてハードコードされています。
policy_name	read_only_udm.security_result.rule_type	直接マッピング。
proc_id	read_only_udm.target.process.pid	直接マッピング。
proc_name	read_only_udm.target.application	直接マッピング。
protocol_number_src	read_only_udm.network.ip_protocol	数値のプロトコル番号を対応する名前にマッピングします（例: 6（TCP）、17（UDP））。
rflowbytes	read_only_udm.network.received_bytes	直接マッピング。
rflowpkts	read_only_udm.network.received_packets	直接マッピング。
rule_id	read_only_udm.security_result.rule_id	直接マッピング。
rule_name	read_only_udm.security_result.rule_name	直接マッピング。
sd	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「sd」としてハードコードされています。
security_policy_id	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「security_policy_id」としてハードコードされています。
session_id	read_only_udm.network.session_id	直接マッピング。
session_state	read_only_udm.metadata.product_event_type	直接マッピング。
sip	read_only_udm.principal.ip	直接マッピング。
software_version	read_only_udm.principal.asset.software.version	直接マッピング。
スポーツ	read_only_udm.principal.port	直接マッピング。
ts	read_only_udm.metadata.event_timestamp	ログのタイムスタンプが解析され、UDM タイムスタンプ形式にフォーマットされます。
vlan	read_only_udm.additional.fields.value.string_value	直接マッピング。キーは「vlan」としてハードコードされています。
	read_only_udm.metadata.event_type	sip と dip の両方が存在する場合は、「NETWORK_UNCATEGORIZED」に設定します。sip のみが存在する場合は「STATUS_UPDATE」に設定されます。それ以外の場合は、「GENERIC_EVENT」に設定されます。
	read_only_udm.metadata.log_type	「AMD_DSS_FIREWALL」にハードコードされています。
	read_only_udm.metadata.product_name	「AMD_DSS_FIREWALL」にハードコードされています。
	read_only_udm.metadata.vendor_name	「AMD_DSS_FIREWALL」にハードコードされています。
	read_only_udm.principal.resource.resource_type	「VPC_NETWORK」にハードコードされています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。