收集 AMD Pensando DSS 防火墙日志

支持的平台：

Google SecOps SIEM

本指南介绍了如何使用 Bindplane 将 AMD Pensando DSS 防火墙日志注入到 Google Security Operations。解析器首先使用 grok 模式和 CSV 解析从 syslog 消息中提取字段。然后，它会将提取的字段映射到相应的 UDM（统一数据模型）属性，通过添加更多上下文信息来丰富数据，并标准化数据格式以供安全分析。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
搭载 systemd 的 Windows 2016 或更高版本或 Linux 主机
如果在代理后面运行，请确保防火墙端口根据 Bindplane 代理要求处于开放状态
对 AMD Pensando Policy and Services Manager (PSM) 或 Aruba CX 10000 交换机管理界面的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据您的基础架构需要替换端口和 IP 地址。
将 <CUSTOMER_ID> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 AMD Pensando DSS 防火墙上配置 Syslog 转发

Aruba CX 10000 使用分布式服务交换机 (DSS) 集成来分流防火墙日志。请按照以下步骤将这些日志转发到 Bindplane。

通过 Aruba CX 10000 上的 AOS-CX CLI 进行配置

通过 SSH 或控制台连接到 Aruba CX 10000 交换机。
进入配置模式：
```
configure terminal
```
使用 UDP 配置远程 Syslog 服务器（将 <BINDPLANE_IP> 替换为您的 Bindplane 代理 IP 地址）：
```
logging <BINDPLANE_IP> udp 514 severity info
```
- 或者，对于 TCP：
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- 或者对于 TLS（如果可用）：
```
logging <BINDPLANE_IP> tls 6514 severity info
```
注意：默认端口为 UDP=514、TCP=1470、TLS=651。明确指定端口以匹配您的 Bindplane 配置。
设置 syslog 设施：
```
logging facility local0
```
保存配置：
```
write memory
exit
```

UDM 映射表

日志字段	UDM 映射	逻辑
操作	read_only_udm.metadata.product_event_type	直接映射。
操作	read_only_udm.security_result.action	如果操作为“拒绝”，则设置为“BLOCK”。如果操作为“允许”，则设置为“ALLOW”。
column10	read_only_udm.network.session_id	直接映射。
column11	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“security_policy_id”。
column12	read_only_udm.security_result.rule_id	直接映射。
column13	read_only_udm.security_result.rule_name	直接映射。
column14	read_only_udm.network.sent_packets	直接映射。
column15	read_only_udm.network.sent_bytes	直接映射。
column16	read_only_udm.network.received_packets	直接映射。
column17	read_only_udm.network.received_bytes	直接映射。
column18	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“vlan”。
column19	read_only_udm.principal.asset.software.vendor_name	直接映射。
column19	read_only_udm.principal.asset.software.name	直接映射。
第 2 列	read_only_udm.metadata.product_event_type	直接映射。
column20	read_only_udm.principal.asset.software.version	直接映射。
column21	read_only_udm.principal.asset_id	将“asset_id:”与第 21 列的值串联起来。
column22	read_only_udm.principal.asset.attribute.labels.value	直接映射。键硬编码为“device_name”。
column23	read_only_udm.principal.asset.attribute.labels.value	直接映射。键硬编码为“unit_id”。
column24	read_only_udm.metadata.product_version	直接映射。
column25	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“policy_name”。
column25	read_only_udm.security_result.rule_type	直接映射。
column4	read_only_udm.principal.resource.product_object_id	直接映射。
column5	read_only_udm.principal.ip	直接映射。
column6	read_only_udm.principal.port	直接映射。
column7	read_only_udm.target.ip	直接映射。
column8	read_only_udm.target.port	直接映射。
column9	read_only_udm.network.ip_protocol	将数字协议号映射到其对应的名称（例如，6 表示 TCP，17 表示 UDP）。
dip	read_only_udm.target.ip	直接映射。
dport	read_only_udm.target.port	直接映射。
dvc	read_only_udm.intermediary.hostname	如果 dvc 不是 IP 地址，则映射到主机名。否则，映射到 IP。
iflowbytes	read_only_udm.network.sent_bytes	直接映射。
iflowpkts	read_only_udm.network.sent_packets	直接映射。
msg_id	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“msg_id”。
policy_name	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“policy_name”。
policy_name	read_only_udm.security_result.rule_type	直接映射。
proc_id	read_only_udm.target.process.pid	直接映射。
proc_name	read_only_udm.target.application	直接映射。
protocol_number_src	read_only_udm.network.ip_protocol	将数字协议号映射到其对应的名称（例如，6 表示 TCP，17 表示 UDP）。
rflowbytes	read_only_udm.network.received_bytes	直接映射。
rflowpkts	read_only_udm.network.received_packets	直接映射。
rule_id	read_only_udm.security_result.rule_id	直接映射。
rule_name	read_only_udm.security_result.rule_name	直接映射。
sd	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“sd”。
security_policy_id	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“security_policy_id”。
session_id	read_only_udm.network.session_id	直接映射。
session_state	read_only_udm.metadata.product_event_type	直接映射。
sip	read_only_udm.principal.ip	直接映射。
software_version	read_only_udm.principal.asset.software.version	直接映射。
体育	read_only_udm.principal.port	直接映射。
ts	read_only_udm.metadata.event_timestamp	系统会解析日志中的时间戳，并将其格式设置为 UDM 时间戳格式。
vlan	read_only_udm.additional.fields.value.string_value	直接映射。键硬编码为“vlan”。
	read_only_udm.metadata.event_type	如果同时存在 sip 和 dip，则设置为“NETWORK_UNCATEGORIZED”。如果仅存在 sip，则设置为“STATUS_UPDATE”。否则，设置为“GENERIC_EVENT”。
	read_only_udm.metadata.log_type	硬编码为“AMD_DSS_FIREWALL”。
	read_only_udm.metadata.product_name	硬编码为“AMD_DSS_FIREWALL”。
	read_only_udm.metadata.vendor_name	硬编码为“AMD_DSS_FIREWALL”。
	read_only_udm.principal.resource.resource_type	硬编码为“VPC_NETWORK”。