Recolha registos da firewall AMD Pensando DSS

Suportado em:

Google secops SIEM

Este guia explica como pode carregar registos da firewall AMD Pensando DSS para o Google Security Operations através do Bindplane. O analisador extrai primeiro os campos das mensagens syslog através de padrões grok e da análise CSV. Em seguida, mapeia os campos extraídos para os atributos correspondentes do UDM (modelo de dados unificado), enriquecendo os dados com contexto adicional e normalizando o respetivo formato para análise de segurança.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou Linux com systemd
Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado ao AMD Pensando Policy and Services Manager (PSM) ou à interface de gestão do comutador Aruba CX 10000

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog na firewall DSS da AMD Pensando

O Aruba CX 10000 usa a integração do Distributed Services Switch (DSS) para descarregar registos da firewall. Siga estes passos para encaminhar estes registos para o Bindplane.

Configure através da CLI do AOS-CX no Aruba CX 10000

Ligue-se ao comutador Aruba CX 10000 através de SSH ou da consola.
Entre no modo de configuração:
```
configure terminal
```
Configure o servidor syslog remoto com UDP (substitua <BINDPLANE_IP> pelo endereço IP do agente do Bindplane):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Ou para TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- Em alternativa, para TLS (se disponível):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Nota: as portas predefinidas são UDP=514, TCP=1470 e TLS=651. Especifique a porta explicitamente para corresponder à configuração do Bindplane.
Defina a funcionalidade syslog:
```
logging facility local0
```
Guarde a configuração:
```
write memory
exit
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
ação	read_only_udm.metadata.product_event_type	Mapeamento direto.
ação	read_only_udm.security_result.action	Se a ação for "deny", defina-a como "BLOCK". Se a ação for "permitir", defina como "ALLOW".
column10	read_only_udm.network.session_id	Mapeamento direto.
column11	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "security_policy_id".
column12	read_only_udm.security_result.rule_id	Mapeamento direto.
column13	read_only_udm.security_result.rule_name	Mapeamento direto.
column14	read_only_udm.network.sent_packets	Mapeamento direto.
column15	read_only_udm.network.sent_bytes	Mapeamento direto.
column16	read_only_udm.network.received_packets	Mapeamento direto.
column17	read_only_udm.network.received_bytes	Mapeamento direto.
column18	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Mapeamento direto.
column19	read_only_udm.principal.asset.software.name	Mapeamento direto.
coluna2	read_only_udm.metadata.product_event_type	Mapeamento direto.
column20	read_only_udm.principal.asset.software.version	Mapeamento direto.
column21	read_only_udm.principal.asset_id	Concatena "asset_id:" com o valor da coluna 21.
column22	read_only_udm.principal.asset.attribute.labels.value	Mapeamento direto. A chave está codificada como "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Mapeamento direto. A chave está codificada como "unit_id".
column24	read_only_udm.metadata.product_version	Mapeamento direto.
column25	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "policy_name".
column25	read_only_udm.security_result.rule_type	Mapeamento direto.
column4	read_only_udm.principal.resource.product_object_id	Mapeamento direto.
column5	read_only_udm.principal.ip	Mapeamento direto.
column6	read_only_udm.principal.port	Mapeamento direto.
column7	read_only_udm.target.ip	Mapeamento direto.
column8	read_only_udm.target.port	Mapeamento direto.
column9	read_only_udm.network.ip_protocol	Mapeia o número do protocolo numérico ao respetivo nome (por exemplo, 6 para TCP e 17 para UDP).
queda	read_only_udm.target.ip	Mapeamento direto.
dport	read_only_udm.target.port	Mapeamento direto.
dvc	read_only_udm.intermediary.hostname	Se dvc não for um endereço IP, mapeie para o nome de anfitrião. Caso contrário, mapeie para IP.
iflowbytes	read_only_udm.network.sent_bytes	Mapeamento direto.
iflowpkts	read_only_udm.network.sent_packets	Mapeamento direto.
msg_id	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "policy_name".
policy_name	read_only_udm.security_result.rule_type	Mapeamento direto.
proc_id	read_only_udm.target.process.pid	Mapeamento direto.
proc_name	read_only_udm.target.application	Mapeamento direto.
protocol_number_src	read_only_udm.network.ip_protocol	Mapeia o número do protocolo numérico ao respetivo nome (por exemplo, 6 para TCP e 17 para UDP).
rflowbytes	read_only_udm.network.received_bytes	Mapeamento direto.
rflowpkts	read_only_udm.network.received_packets	Mapeamento direto.
rule_id	read_only_udm.security_result.rule_id	Mapeamento direto.
rule_name	read_only_udm.security_result.rule_name	Mapeamento direto.
sd	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "security_policy_id".
session_id	read_only_udm.network.session_id	Mapeamento direto.
session_state	read_only_udm.metadata.product_event_type	Mapeamento direto.
sip	read_only_udm.principal.ip	Mapeamento direto.
software_version	read_only_udm.principal.asset.software.version	Mapeamento direto.
desporto	read_only_udm.principal.port	Mapeamento direto.
ts	read_only_udm.metadata.event_timestamp	A data/hora do registo é analisada e formatada no formato de data/hora do UDM.
vlan	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave está codificada como "vlan".
	read_only_udm.metadata.event_type	Se sip e dip estiverem presentes, defina como "NETWORK_UNCATEGORIZED". Se apenas o SIP estiver presente, defina como "STATUS_UPDATE". Caso contrário, defina como "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Codificado de forma rígida como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Codificado de forma rígida como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Codificado de forma rígida como "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Codificado de forma rígida para "VPC_NETWORK".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.