Mengumpulkan log SSL VPN Array Networks

Didukung di:

Dokumen ini menjelaskan cara menyerap log SSL VPN Array Networks ke Google Security Operations menggunakan agen Bindplane.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke konsol atau appliance pengelolaan SSL VPN Array Networks (Seri AG atau vxAG)

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.
  4. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARRAYNETWORKS_VPN'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <CUSTOMER_ID> dengan ID Pelanggan yang sebenarnya.
    • Ganti /path/to/ingestion-authentication-file.json dengan jalur file tempat file autentikasi disimpan di Langkah 1.
    • Endpoint malachiteingestion-pa.googleapis.com adalah untuk region AS. Jika instance Google SecOps Anda berada di region yang berbeda, gunakan endpoint penyerapan yang sesuai dengan region yang disediakan dalam dokumentasi tenant Anda.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  1. Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

  2. Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop observiq-otel-collector && net start observiq-otel-collector

Mengonfigurasi penerusan Syslog di SSL VPN Array Networks

  1. Login ke Array Networks SSL VPN Management Console (WebUI).
  2. Di menu navigasi sebelah kiri, klik ADMIN TOOLS.
  3. Klik Monitoring.
  4. Klik tab Logging.
  5. Klik sub-tab Syslog Servers.
  6. Di bagian KONFIGURASI SERVER SYSLOG JARAK JAUH, klik Tambahkan Entri Server.
  7. Berikan detail konfigurasi berikut:
    • IP Host: Masukkan alamat IP agen Bindplane.
    • Port Host: Masukkan nomor port agen Bindplane (misalnya, 514).
    • Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
    • Source Port: Biarkan default atau tentukan jika diperlukan oleh konfigurasi jaringan Anda.
    • Tingkat: Pilih tingkat keparahan minimum yang akan diteruskan (misalnya, Informasi, Peringatan, Error).
  8. Klik Tambahkan atau Simpan untuk menerapkan konfigurasi.

  9. Klik Save Configuration di bagian atas halaman untuk mempertahankan perubahan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
clientip principal.ip Alamat IP klien yang diekstrak dari kolom clientip dalam pesan log mentah.
column1 principal.ip Alamat IP yang diekstrak dari column1 dalam log mentah.
column1 principal.asset.ip Alamat IP yang diekstrak dari column1 dalam log mentah.
column3 network.received_bytes Jumlah byte yang diterima, dikonversi menjadi bilangan bulat tidak bertanda.
column4 network.http.method Metode HTTP yang diekstrak dari column4 dalam log mentah.
column7 target.ip Alamat IP target yang diekstrak dari column7 dalam log mentah.
dport target.port Port tujuan, dikonversi menjadi bilangan bulat.
dst target.ip Alamat IP tujuan.
dst target.asset.ip Alamat IP tujuan.
hostname principal.hostname Nama host yang diekstrak dari kolom hostname dalam pesan log mentah.
hostname principal.asset.hostname Nama host yang diekstrak dari kolom hostname dalam pesan log mentah.
http_method network.http.method Metode HTTP yang diekstrak dari pesan log mentah.
id principal.application ID aplikasi dari log mentah.
mac principal.mac Alamat MAC diekstrak dari kolom mac dalam pesan log mentah.
msg metadata.product_event_type Kolom pesan dari log mentah, digunakan sebagai jenis peristiwa produk. Juga digunakan untuk security_result.description setelah menghapus garis miring terbalik dan tanda petik.
product_name metadata.product_name Nama produk yang diekstrak dari pesan log mentah.
prxy_ip intermediary.ip Alamat IP proxy.
prxy_port intermediary.port Port proxy, dikonversi menjadi bilangan bulat.
response_code network.http.response_code Kode respons HTTP, dikonversi menjadi bilangan bulat.
security_result.action security_result.action Ditentukan oleh logika parser berdasarkan nilai column2. "BLOCK" jika column2 berisi "TCP_MISS", "UNKNOWN_ACTION" jika tidak.
security_result.description security_result.description Kolom pesan dari log mentah, setelah menghapus garis miring terbalik dan tanda petik.
sport principal.port Port sumber, dikonversi menjadi bilangan bulat.
src principal.ip Alamat IP sumber.
src principal.asset.ip Alamat IP sumber.
target_hostname target.hostname Nama host target yang diekstrak dari pesan log mentah.
timestamp metadata.event_timestamp Stempel waktu yang diekstrak dari pesan log mentah dan diuraikan menjadi objek stempel waktu.
uri target.url Bagian dari URL target. Digabungkan dengan uri_param untuk membentuk URL lengkap.
uri_param target.url Bagian dari URL target. Digabungkan dengan uri untuk membentuk URL lengkap.
user target.user.userid Nama pengguna yang diekstrak dari pesan log mentah.
user_agent_string network.http.user_agent String agen pengguna yang diekstrak dari pesan log mentah.
vpn target.user.group_identifiers Nama VPN diekstrak dari pesan log mentah.
metadata.event_type metadata.event_type Ditentukan oleh logika parser berdasarkan kombinasi kolom seperti has_principal, has_target, has_http_value, dan user. Dapat berupa "NETWORK_HTTP", "NETWORK_CONNECTION", "STATUS_UPDATE", "USER_UNCATEGORIZED", atau "GENERIC_EVENT".
network.ip_protocol network.ip_protocol Setel ke "TCP" jika pesan berisi "TCP".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.