收集 AMD Pensando DSS 防火牆記錄
支援的國家/地區:
Google SecOps
SIEM
本指南說明如何使用 Bindplane,將 AMD Pensando DSS 防火牆記錄擷取至 Google Security Operations。剖析器會先使用 Grok 模式和 CSV 剖析,從系統記錄訊息中擷取欄位。接著,系統會將擷取的欄位對應至相應的 UDM (統一資料模型) 屬性,並以額外背景資訊擴充資料,以及將資料格式標準化,以利進行安全性分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 搭載
systemd的 Windows 2016 以上版本或 Linux 主機 - 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
- AMD Pensando Policy and Services Manager (PSM) 或 Aruba CX 10000 交換器管理介面的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
安裝 Linux
- 開啟具備根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'AMD_DSS_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 AMD Pensando DSS 防火牆上設定 Syslog 轉送
Aruba CX 10000 使用分散式服務交換器 (DSS) 整合功能,卸載防火牆記錄。請按照下列步驟將這些記錄轉送至 Bindplane。
在 Aruba CX 10000 上透過 AOS-CX CLI 進行設定
- 透過 SSH 或控制台連線至 Aruba CX 10000 交換器。
進入設定模式:
configure terminal使用 UDP 設定遠端系統記錄檔伺服器 (將
<BINDPLANE_IP>替換為 Bindplane 代理程式 IP 位址):logging <BINDPLANE_IP> udp 514 severity info- 或是 TCP:
logging <BINDPLANE_IP> tcp 514 severity info- 或傳輸層安全標準 (TLS) (如適用):
logging <BINDPLANE_IP> tls 6514 severity info設定系統記錄設施:
logging facility local0儲存設定:
write memory exit
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 動作 | read_only_udm.metadata.product_event_type | 直接對應。 |
| 動作 | read_only_udm.security_result.action | 如果動作是「拒絕」,請設為「BLOCK」。如果動作是「允許」,請設為「ALLOW」。 |
| column10 | read_only_udm.network.session_id | 直接對應。 |
| column11 | read_only_udm.additional.fields.value.string_value | 直接對應。金鑰會以硬式編碼方式指定為「security_policy_id」。 |
| column12 | read_only_udm.security_result.rule_id | 直接對應。 |
| column13 | read_only_udm.security_result.rule_name | 直接對應。 |
| column14 | read_only_udm.network.sent_packets | 直接對應。 |
| column15 | read_only_udm.network.sent_bytes | 直接對應。 |
| column16 | read_only_udm.network.received_packets | 直接對應。 |
| column17 | read_only_udm.network.received_bytes | 直接對應。 |
| column18 | read_only_udm.additional.fields.value.string_value | 直接對應。索引鍵會以硬式編碼寫成「vlan」。 |
| column19 | read_only_udm.principal.asset.software.vendor_name | 直接對應。 |
| column19 | read_only_udm.principal.asset.software.name | 直接對應。 |
| 第 2 欄 | read_only_udm.metadata.product_event_type | 直接對應。 |
| column20 | read_only_udm.principal.asset.software.version | 直接對應。 |
| column21 | read_only_udm.principal.asset_id | 將「asset_id:」與第 21 欄的值串連。 |
| column22 | read_only_udm.principal.asset.attribute.labels.value | 直接對應。索引鍵會以硬式編碼寫成「device_name」。 |
| column23 | read_only_udm.principal.asset.attribute.labels.value | 直接對應。索引鍵以硬式編碼寫成「unit_id」。 |
| column24 | read_only_udm.metadata.product_version | 直接對應。 |
| column25 | read_only_udm.additional.fields.value.string_value | 直接對應。索引鍵會以硬式編碼寫成「policy_name」。 |
| column25 | read_only_udm.security_result.rule_type | 直接對應。 |
| column4 | read_only_udm.principal.resource.product_object_id | 直接對應。 |
| column5 | read_only_udm.principal.ip | 直接對應。 |
| column6 | read_only_udm.principal.port | 直接對應。 |
| column7 | read_only_udm.target.ip | 直接對應。 |
| column8 | read_only_udm.target.port | 直接對應。 |
| column9 | read_only_udm.network.ip_protocol | 將數字通訊協定號碼對應至相應名稱 (例如 6 代表 TCP,17 代表 UDP)。 |
| dip | read_only_udm.target.ip | 直接對應。 |
| dport | read_only_udm.target.port | 直接對應。 |
| dvc | read_only_udm.intermediary.hostname | 如果 dvc 不是 IP 位址,請對應至主機名稱。否則請對應至 IP。 |
| iflowbytes | read_only_udm.network.sent_bytes | 直接對應。 |
| iflowpkts | read_only_udm.network.sent_packets | 直接對應。 |
| msg_id | read_only_udm.additional.fields.value.string_value | 直接對應。金鑰以硬式編碼方式指定為「msg_id」。 |
| policy_name | read_only_udm.additional.fields.value.string_value | 直接對應。索引鍵會以硬式編碼寫成「policy_name」。 |
| policy_name | read_only_udm.security_result.rule_type | 直接對應。 |
| proc_id | read_only_udm.target.process.pid | 直接對應。 |
| proc_name | read_only_udm.target.application | 直接對應。 |
| protocol_number_src | read_only_udm.network.ip_protocol | 將數字通訊協定號碼對應至相應名稱 (例如 6 代表 TCP,17 代表 UDP)。 |
| rflowbytes | read_only_udm.network.received_bytes | 直接對應。 |
| rflowpkts | read_only_udm.network.received_packets | 直接對應。 |
| rule_id | read_only_udm.security_result.rule_id | 直接對應。 |
| rule_name | read_only_udm.security_result.rule_name | 直接對應。 |
| sd | read_only_udm.additional.fields.value.string_value | 直接對應。金鑰以硬式編碼寫成「sd」。 |
| security_policy_id | read_only_udm.additional.fields.value.string_value | 直接對應。金鑰會以硬式編碼方式指定為「security_policy_id」。 |
| session_id | read_only_udm.network.session_id | 直接對應。 |
| session_state | read_only_udm.metadata.product_event_type | 直接對應。 |
| sip | read_only_udm.principal.ip | 直接對應。 |
| software_version | read_only_udm.principal.asset.software.version | 直接對應。 |
| 運動 | read_only_udm.principal.port | 直接對應。 |
| ts | read_only_udm.metadata.event_timestamp | 系統會剖析記錄中的時間戳記,並將其格式化為 UDM 時間戳記格式。 |
| vlan | read_only_udm.additional.fields.value.string_value | 直接對應。索引鍵會以硬式編碼寫成「vlan」。 |
| read_only_udm.metadata.event_type | 如果同時存在 sip 和 dip,請設為「NETWORK_UNCATEGORIZED」。如果只有 SIP,請設為「STATUS_UPDATE」。否則請設為「GENERIC_EVENT」。 | |
| read_only_udm.metadata.log_type | 硬式編碼為「AMD_DSS_FIREWALL」。 | |
| read_only_udm.metadata.product_name | 硬式編碼為「AMD_DSS_FIREWALL」。 | |
| read_only_udm.metadata.vendor_name | 硬式編碼為「AMD_DSS_FIREWALL」。 | |
| read_only_udm.principal.resource.resource_type | 硬式編碼為「VPC_NETWORK」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。