Mengumpulkan log Netscout Arbor Sightline
Dokumen ini menjelaskan cara menyerap log Netscout Arbor Sightline ke Google Security Operations menggunakan agen Bindplane.
Netscout Arbor Sightline (sebelumnya Peakflow SP) adalah platform visibilitas jaringan dan deteksi DDoS yang menyediakan kemampuan yang andal, mulai dari perencanaan kapasitas di seluruh jaringan hingga mengidentifikasi dan mengelola mitigasi DDoS dan ancaman lainnya terhadap jaringan. Sightline mengumpulkan dan menganalisis data aliran, informasi perutean BGP, dan data SNMP untuk mendeteksi anomali, membuat pemberitahuan, dan mengoordinasikan respons mitigasi.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan perangkat Netscout Arbor Sightline
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses administratif ke antarmuka web Netscout Arbor Sightline
- Akses administratif ke antarmuka command line (CLI) Netscout Arbor Sightline untuk konfigurasi pemberitahuan sistem
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/arbor_sightline: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: ARBOR_SIGHTLINE raw_log_field: body ingestion_labels: env: production service: pipelines: logs/arbor_to_chronicle: receivers: - udplog exporters: - chronicle/arbor_sightlineGanti placeholder berikut:
Konfigurasi penerima:
- Penerima dikonfigurasi untuk memproses di port UDP 514 di semua antarmuka (
0.0.0.0:514) - Jika Anda perlu menggunakan port yang berbeda (misalnya,
1514untuk penginstalan Linux non-root), ubah nilailisten_address - Jika Anda lebih memilih TCP syslog, ganti
udplogdengantcplogdi bagian penerima dan pipeline
- Penerima dikonfigurasi untuk memproses di port UDP 514 di semua antarmuka (
Konfigurasi pengekspor:
<CREDS_FILE_PATH>: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID Pelanggan dari langkah sebelumnyaendpoint: URL endpoint regional (default yang ditampilkan adalah region AS):- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
log_type: Tetapkan keARBOR_SIGHTLINE(pencocokan persis diperlukan)ingestion_labels: Label opsional dalam format YAML (ubah sesuai kebutuhan untuk lingkungan Anda)
Contoh konfigurasi
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/arbor_sightline: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: ARBOR_SIGHTLINE raw_log_field: body ingestion_labels: env: production source: sightline service: pipelines: logs/arbor_to_chronicle: receivers: - udplog exporters: - chronicle/arbor_sightline
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog Netscout Arbor Sightline
Untuk mengirim log ke Google SecOps, Anda harus mengonfigurasi Netscout Arbor Sightline untuk meneruskan peristiwa syslog ke agen Bindplane. Hal ini mencakup pembuatan grup notifikasi, konfigurasi setelan notifikasi global, dan penyiapan aturan notifikasi pemberitahuan.
Membuat grup notifikasi
- Login ke antarmuka web Netscout Arbor Sightline sebagai administrator.
- Buka Administrasi > Notifikasi > Grup.
- Klik Tambahkan Grup Notifikasi.
- Berikan detail konfigurasi berikut:
- Tujuan: Masukkan alamat IP host agen BindPlane (misalnya,
192.168.1.100). - Port: Masukkan
514(atau port yang dikonfigurasi di agen Bindplane, seperti1514). - Fasilitas: Pilih fasilitas syslog (misalnya,
local0atauuser). - Tingkat keparahan: Pilih
info. Tingkat keparahan informasi mengumpulkan semua pesan peristiwa di tingkat peristiwa informasi dan tingkat keparahan yang lebih tinggi.
- Tujuan: Masukkan alamat IP host agen BindPlane (misalnya,
- Klik Simpan.
Klik Configuration Commit untuk menerapkan perubahan konfigurasi.
Mengonfigurasi setelan notifikasi global
Notifikasi global di Netscout Arbor Sightline memberikan notifikasi sistem yang tidak terkait dengan aturan pemberitahuan tertentu.
- Di antarmuka web Netscout Arbor Sightline, buka Administration > Notification > Global Settings.
- Di kolom Default Notification Group, pilih grup notifikasi yang Anda buat untuk Google SecOps.
- Klik Simpan.
- Klik Configuration Commit untuk menerapkan perubahan konfigurasi.
Mengaktifkan notifikasi peringatan sistem
Peringatan sistem memerlukan konfigurasi tambahan melalui antarmuka command line (CLI).
- Login ke antarmuka command line Netscout Arbor Sightline sebagai administrator.
Mencantumkan konfigurasi pemberitahuan sistem saat ini:
services sp alerts system_errors showUntuk mencantumkan nama kolom pemberitahuan sistem yang tersedia yang dapat dikonfigurasi, jalankan:
services sp alerts system_errors ?Aktifkan notifikasi untuk peringatan sistem. Untuk setiap jenis pemberitahuan yang ingin Anda aktifkan, jalankan:
services sp alerts system_errors <alert_name> notifications enableGanti
<alert_name>dengan nama kolom pemberitahuan sistem tertentu (misalnya,disk_full,flow_collector_down,license_expiring).Lakukan perubahan konfigurasi:
config write
Mengonfigurasi aturan notifikasi pemberitahuan
Aturan notifikasi pemberitahuan menentukan pemberitahuan mana yang memicu notifikasi syslog ke Google SecOps.
- Di antarmuka web Netscout Arbor Sightline, buka Administration > Notification > Rules.
- Pilih salah satu opsi berikut:
- Klik aturan yang ada untuk mengeditnya.
- Klik Tambahkan Aturan untuk membuat aturan notifikasi baru.
- Konfigurasi nilai berikut:
- Nama: Masukkan nama deskriptif untuk aturan (misalnya,
Chronicle-DDoS-Alerts). - Resource: Masukkan alamat CIDR atau pilih objek terkelola dari daftar resource Sightline. Untuk menerapkan aturan ke semua aset, biarkan kolom ini kosong atau pilih Semua.
- Tingkat kepentingan: Pilih tingkat kepentingan minimum untuk pemberitahuan (misalnya,
Low,Medium,High, atauCritical). Pemberitahuan pada atau di atas tingkat ini akan memicu notifikasi. - Grup Notifikasi: Pilih grup notifikasi yang Anda buat untuk Google SecOps.
- Nama: Masukkan nama deskriptif untuk aturan (misalnya,
- Ulangi langkah-langkah ini untuk mengonfigurasi aturan tambahan sesuai kebutuhan untuk berbagai resource atau tingkat kepentingan.
- Klik Simpan.
Klik Configuration Commit untuk menerapkan perubahan konfigurasi.
Menguji konektivitas syslog
Setelah mengonfigurasi grup dan aturan notifikasi, pastikan pesan syslog dikirim ke agen BindPlane.
Di CLI Netscout Arbor Sightline, uji koneksi syslog:
services sp notification test syslog group <notification_group_name>Ganti
<notification_group_name>dengan nama grup notifikasi yang Anda buat.Perintah akan menampilkan:
Server returned: SuccessPeriksa log agen Bindplane untuk memverifikasi bahwa pesan pengujian diterima:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"Di konsol Google SecOps, buka Search dan pastikan log Netscout Arbor Sightline muncul dengan label penyerapan
ARBOR_SIGHTLINE.
Jenis peristiwa yang diteruskan ke Google SecOps
Netscout Arbor Sightline meneruskan kategori peristiwa berikut melalui syslog:
- Peristiwa Denial of Service (DoS): Pemberitahuan deteksi serangan DDoS, termasuk serangan volumetrik, serangan protokol, dan serangan lapisan aplikasi
- Peristiwa autentikasi: Keberhasilan dan kegagalan login pengguna, upaya autentikasi
- Peristiwa eksploitasi: Upaya eksploitasi yang terdeteksi dan pola traffic yang mencurigakan
- Peristiwa aktivitas mencurigakan: Perilaku traffic yang tidak normal dan potensi ancaman keamanan
- Peristiwa sistem: Kondisi appliance, status layanan, perubahan konfigurasi, dan pemberitahuan operasional
- Peristiwa mitigasi: Pembaruan status, mulai, dan berhenti mitigasi untuk serangan DDoS
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| msg1 | additional.fields | Digabungkan dengan label dari setiap kolom jika tidak kosong, menggunakan kunci tertentu seperti "message_description" untuk msg1, "config_version" untuk config_version, dll. |
| config_version | additional.fields | |
| prin_user | additional.fields | |
| old_bgp_attributes | additional.fields | |
| new_bgp_attributes | additional.fields | |
| alasan | additional.fields | |
| sample_rate | additional.fields | |
| proto | additional.fields | |
| yang didukung AI | additional.fields | |
| ID | additional.fields | |
| expected_bps | additional.fields | |
| actual_bps | additional.fields | |
| server | additional.fields | |
| status | additional.fields | |
| persen | additional.fields | |
| rasio | additional.fields | |
| rateunit | additional.fields | |
| flag | additional.fields | |
| router | additional.fields | |
| antarmuka | additional.fields | |
| ip_ver | additional.fields | |
| protocol_id | additional.fields | |
| router_name | additional.fields | |
| interface_id | additional.fields | |
| interface_name | additional.fields | |
| priority | additional.fields | |
| log_level | additional.fields | |
| kolam renang | additional.fields | |
| thread_id | additional.fields | |
| timeout | additional.fields | |
| percobaan | additional.fields | |
| vulns | extensions.vulns.vulnerabilities | Digabungkan jika vulns tidak kosong |
| menurun | metadata.description | Ditetapkan ke "%{desc}: %{desc2}" jika desc dan desc2 tidak kosong, atau desc; diganti oleh message_desc jika tidak kosong |
| desc2 | metadata.description | |
| message_desc | metadata.description | |
| event_time | metadata.event_timestamp | Dikonversi menggunakan filter tanggal dengan format MMM dd HH:mm:ss atau MMM d HH:mm:ss, zona waktu Eropa/London |
| desc2 | metadata.event_type | Setel ke "SCAN_PROCESS" jika desc2 cocok dengan "(DNS Amplification |
| pesan | metadata.event_type | |
| src_ip | metadata.event_type | |
| has_target_ip | metadata.event_type | |
| has_network_protocol | metadata.event_type | |
| host_name | metadata.event_type | |
| pesan | metadata.product_event_type | Disetel ke "Deteksi Host" jika pesan cocok dengan "Deteksi Host"; "Mitigasi TMS dimulai" jika pesan cocok dengan "dimulai"; "Mitigasi TMS dihentikan" jika pesan cocok dengan "dihentikan" |
| metadata.product_name | metadata.product_name | Disetel ke "ARBOR_SIGHTLINE" |
| metadata.vendor_name | metadata.vendor_name | Disetel ke "NETSCOUT" |
| direction | network.direction | Tetapkan ke "INBOUND" jika arah "incoming" |
| proto | network.ip_protocol | Tetapkan ke "TCP" jika proto "6"; jika tidak, tetapkan ke network_protocol huruf besar jika cocok dengan "(?i)(TCP |
| network_protocol | network.ip_protocol | |
| byte | network.sent_bytes | Nilai disalin langsung, dikonversi menjadi uinteger |
| paket | network.sent_packets | Nilai disalin langsung, dikonversi menjadi bilangan bulat |
| durasi | network.session_duration.seconds | Nilai disalin langsung jika tidak kosong dan bukan "0", dikonversi menjadi bilangan bulat |
| host_name | principal.hostname | Nilai disalin secara langsung |
| src_ip | principal.ip | Digabungkan dari src_ip dan nameserver_ip |
| nameserver_ip | principal.ip | |
| namespace | principal.namespace | Nilai disalin secara langsung |
| filename | principal.process.file.full_path | Nilai disalin secara langsung |
| alert_id | principal.process.pid | Nilai disalin secara langsung |
| prin_url | principal.url | Nilai disalin secara langsung |
| prin_user | principal.user.userid | Nilai disalin secara langsung |
| dampak | security_result.detection_fields | Digabungkan dengan kunci "Impact" dari impact, "Importance" dari importance, "Signature" dari signature, "Leader" dari leader, "parent_managed_object" dari parent_managed_object, "Alert ID" dari alert_id |
| pentingnya | security_result.detection_fields | |
| tanda tangan | security_result.detection_fields | |
| pemimpin | security_result.detection_fields | |
| parent_managed_object | security_result.detection_fields | |
| alert_id | security_result.detection_fields | |
| tingkat keseriusan, | security_result.severity | Tetapkan ke "INFORMATIONAL" jika tingkat keparahan dalam ["10","9"]; "LOW" jika dalam ["8","7"]; "MEDIUM" jika "6"; "HIGH" jika dalam ["5","4"]; "CRITICAL" jika dalam ["3","2","1"] |
| desc2 | security_result.threat_status | Disetel ke "AKTIF" jika deskripsi cocok dengan "Peringatan Deteksi Host" dan pesan "start", bukan "stop"; "DIBERSIHKAN" jika deskripsi cocok dengan "Peringatan Deteksi Host" dan pesan "stop" |
| pesan | security_result.threat_status | |
| intem_host | target.group.product_object_id | Nilai disalin secara langsung |
| dst_ip | target.ip | Nilai disalin secara langsung |
| dst_port | target.port | Nilai disalin langsung, dikonversi menjadi bilangan bulat |
| file_path | target.process.file.full_path | Nilai disalin secara langsung |
| stop_time | vulns.vulnerabilities.scan_end_time | Dikonversi menggunakan filter tanggal dengan format yyyy-MM-dd HH:mm:ss |
| start_time | vulns.vulnerabilities.scan_start_time | Dikonversi menggunakan filter tanggal dengan format yyyy-MM-dd HH:mm:ss atau yyyy-MM-dd |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.