Coletar registros do firewall AMD Pensando DSS

Compatível com:

Google SecOps SIEM

Este guia explica como ingerir registros de firewall do AMD Pensando DSS no Google Security Operations usando o Bindplane. Primeiro, o analisador extrai campos das mensagens do syslog usando padrões grok e análise CSV. Em seguida, ele mapeia os campos extraídos para os atributos correspondentes do UDM (modelo de dados unificado), enriquecendo os dados com contexto adicional e padronizando o formato para análise de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso privilegiado à interface de gerenciamento do switch AMD Pensando Policy and Services Manager (PSM) ou Aruba CX 10000

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o encaminhamento do Syslog no firewall DSS da AMD Pensando

O Aruba CX 10000 usa a integração do Distributed Services Switch (DSS) para descarregar registros de firewall. Siga estas etapas para encaminhar esses registros ao Bindplane.

Configurar pela CLI do AOS-CX no Aruba CX 10000

Conecte-se ao switch Aruba CX 10000 via SSH ou console.
Insira o modo de configuração:
```
configure terminal
```
Configure o servidor syslog remoto com UDP (substitua <BINDPLANE_IP> pelo endereço IP do agente Bindplane):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Ou para TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- Ou para TLS (se disponível):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Observação :as portas padrão são UDP=514, TCP=1470, TLS=651. Especifique a porta explicitamente para corresponder à configuração do Bindplane.
Defina a facilidade do syslog:
```
logging facility local0
```
Salve a configuração:
```
write memory
exit
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ação	read_only_udm.metadata.product_event_type	Mapeamento direto.
ação	read_only_udm.security_result.action	Se a ação for "deny", defina como "BLOCK". Se a ação for "allow", defina como "ALLOW".
column10	read_only_udm.network.session_id	Mapeamento direto.
column11	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é codificada como "security_policy_id".
column12	read_only_udm.security_result.rule_id	Mapeamento direto.
column13	read_only_udm.security_result.rule_name	Mapeamento direto.
column14	read_only_udm.network.sent_packets	Mapeamento direto.
column15	read_only_udm.network.sent_bytes	Mapeamento direto.
column16	read_only_udm.network.received_packets	Mapeamento direto.
column17	read_only_udm.network.received_bytes	Mapeamento direto.
column18	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é fixada no código como "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Mapeamento direto.
column19	read_only_udm.principal.asset.software.name	Mapeamento direto.
column2	read_only_udm.metadata.product_event_type	Mapeamento direto.
column20	read_only_udm.principal.asset.software.version	Mapeamento direto.
column21	read_only_udm.principal.asset_id	Concatena "asset_id:" com o valor de column21.
column22	read_only_udm.principal.asset.attribute.labels.value	Mapeamento direto. A chave é codificada como "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Mapeamento direto. A chave é fixada no código como "unit_id".
column24	read_only_udm.metadata.product_version	Mapeamento direto.
column25	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é codificada como "policy_name".
column25	read_only_udm.security_result.rule_type	Mapeamento direto.
column4	read_only_udm.principal.resource.product_object_id	Mapeamento direto.
column5	read_only_udm.principal.ip	Mapeamento direto.
column6	read_only_udm.principal.port	Mapeamento direto.
column7	read_only_udm.target.ip	Mapeamento direto.
column8	read_only_udm.target.port	Mapeamento direto.
column9	read_only_udm.network.ip_protocol	Mapeia o número do protocolo numérico para o nome correspondente (por exemplo, 6 para TCP, 17 para UDP).
queda	read_only_udm.target.ip	Mapeamento direto.
dport	read_only_udm.target.port	Mapeamento direto.
dvc	read_only_udm.intermediary.hostname	Se dvc não for um endereço IP, mapeie para o nome do host. Caso contrário, mapeie para IP.
iflowbytes	read_only_udm.network.sent_bytes	Mapeamento direto.
iflowpkts	read_only_udm.network.sent_packets	Mapeamento direto.
msg_id	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é fixada no código como "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é codificada como "policy_name".
policy_name	read_only_udm.security_result.rule_type	Mapeamento direto.
proc_id	read_only_udm.target.process.pid	Mapeamento direto.
proc_name	read_only_udm.target.application	Mapeamento direto.
protocol_number_src	read_only_udm.network.ip_protocol	Mapeia o número do protocolo numérico para o nome correspondente (por exemplo, 6 para TCP, 17 para UDP).
rflowbytes	read_only_udm.network.received_bytes	Mapeamento direto.
rflowpkts	read_only_udm.network.received_packets	Mapeamento direto.
rule_id	read_only_udm.security_result.rule_id	Mapeamento direto.
rule_name	read_only_udm.security_result.rule_name	Mapeamento direto.
sd	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é codificada como "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é codificada como "security_policy_id".
session_id	read_only_udm.network.session_id	Mapeamento direto.
session_state	read_only_udm.metadata.product_event_type	Mapeamento direto.
sip	read_only_udm.principal.ip	Mapeamento direto.
software_version	read_only_udm.principal.asset.software.version	Mapeamento direto.
esporte	read_only_udm.principal.port	Mapeamento direto.
ts	read_only_udm.metadata.event_timestamp	O carimbo de data/hora do registro é analisado e formatado no formato de carimbo de data/hora da UDM.
vlan	read_only_udm.additional.fields.value.string_value	Mapeamento direto. A chave é fixada no código como "vlan".
	read_only_udm.metadata.event_type	Se os dois estiverem presentes, defina como "NETWORK_UNCATEGORIZED". Se apenas o SIP estiver presente, defina como "STATUS_UPDATE". Caso contrário, defina como "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Fixado no código como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Fixado no código como "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Fixado no código como "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Fixado no código como "VPC_NETWORK".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.