Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log SSL VPN Array Networks

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log SSL VPN Array Networks ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari pesan syslog, memetakannya ke UDM. Log ini menggunakan pola grok untuk mengidentifikasi berbagai format log, termasuk permintaan HTTP, pesan SSL, dan update status umum, lalu secara kondisional mengurai pasangan nilai kunci dan data CSV dalam pesan untuk mengisi kolom UDM seperti principal, target, informasi jaringan, dan hasil keamanan. Parser juga menangani berbagai jenis peristiwa berdasarkan data yang diekstrak, mengategorikannya sebagai peristiwa jaringan, peristiwa pengguna, atau peristiwa umum.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol atau appliance pengelolaan SSL VPN Array Networks (Seri AG atau vxAG)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARRAYNETWORKS_VPN'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di SSL VPN Array Networks

Login ke UI web Array Networks SSL VPN Management Console.
Di menu navigasi sebelah kiri, klik ADMIN TOOLS.
Klik Monitoring.
Klik tab Logging.
Klik sub-tab Syslog Servers.
Di bagian KONFIGURASI SERVER SYSLOG JARAK JAUH, klik Tambahkan Entri Server.
Berikan detail konfigurasi berikut:
- IP Host: Masukkan alamat IP agen Bindplane.
- Host Port: Masukkan nomor port agen Bindplane (misalnya, 514).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
- Source Port: Biarkan default atau tentukan jika diperlukan oleh konfigurasi jaringan Anda.
- Level: Pilih Informasional.
Klik Simpan untuk menerapkan konfigurasi.
Klik Save Configuration di bagian atas halaman untuk mempertahankan perubahan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`clientip`	`principal.ip`	Alamat IP klien yang diekstrak dari kolom `clientip` dalam pesan log mentah.
`column1`	`principal.ip`	Alamat IP yang diekstrak dari `column1` dalam log mentah.
`column1`	`principal.asset.ip`	Alamat IP yang diekstrak dari `column1` dalam log mentah.
`column3`	`network.received_bytes`	Jumlah byte yang diterima, dikonversi menjadi bilangan bulat tidak bertanda.
`column4`	`network.http.method`	Metode HTTP yang diekstrak dari `column4` dalam log mentah.
`column7`	`target.ip`	Alamat IP target yang diekstrak dari `column7` dalam log mentah.
`dport`	`target.port`	Port tujuan, dikonversi menjadi bilangan bulat.
`dst`	`target.ip`	Alamat IP tujuan.
`dst`	`target.asset.ip`	Alamat IP tujuan.
`hostname`	`principal.hostname`	Nama host yang diekstrak dari kolom `hostname` dalam pesan log mentah.
`hostname`	`principal.asset.hostname`	Nama host yang diekstrak dari kolom `hostname` dalam pesan log mentah.
`http_method`	`network.http.method`	Metode HTTP yang diekstrak dari pesan log mentah.
`id`	`principal.application`	ID aplikasi dari log mentah.
`mac`	`principal.mac`	Alamat MAC diekstrak dari kolom `mac` dalam pesan log mentah.
`msg`	`metadata.product_event_type`	Kolom pesan dari log mentah, digunakan sebagai jenis peristiwa produk. Juga digunakan untuk `security_result.description` setelah menghapus garis miring terbalik dan tanda petik.
`product_name`	`metadata.product_name`	Nama produk yang diekstrak dari pesan log mentah.
`prxy_ip`	`intermediary.ip`	Alamat IP proxy.
`prxy_port`	`intermediary.port`	Port proxy, dikonversi menjadi bilangan bulat.
`response_code`	`network.http.response_code`	Kode respons HTTP, dikonversi menjadi bilangan bulat.
`security_result.action`	`security_result.action`	Ditentukan oleh logika parser berdasarkan nilai `column2`. "BLOCK" jika `column2` berisi "TCP_MISS", "UNKNOWN_ACTION" jika tidak.
`security_result.description`	`security_result.description`	Kolom pesan dari log mentah, setelah menghapus garis miring terbalik dan tanda petik.
`sport`	`principal.port`	Port sumber, dikonversi menjadi bilangan bulat.
`src`	`principal.ip`	Alamat IP sumber.
`src`	`principal.asset.ip`	Alamat IP sumber.
`target_hostname`	`target.hostname`	Nama host target yang diekstrak dari pesan log mentah.
`timestamp`	`metadata.event_timestamp`	Stempel waktu yang diekstrak dari pesan log mentah dan diuraikan menjadi objek stempel waktu.
`uri`	`target.url`	Bagian dari URL target. Digabungkan dengan `uri_param` untuk membentuk URL lengkap.
`uri_param`	`target.url`	Bagian dari URL target. Digabungkan dengan `uri` untuk membentuk URL lengkap.
`user`	`target.user.userid`	Nama pengguna yang diekstrak dari pesan log mentah.
`user_agent_string`	`network.http.user_agent`	String agen pengguna yang diekstrak dari pesan log mentah.
`vpn`	`target.user.group_identifiers`	Nama VPN diekstrak dari pesan log mentah.
`metadata.event_type`	`metadata.event_type`	Ditentukan oleh logika parser berdasarkan kombinasi kolom seperti `has_principal`, `has_target`, `has_http_value`, dan `user`. Dapat berupa "NETWORK_HTTP", "NETWORK_CONNECTION", "STATUS_UPDATE", "USER_UNCATEGORIZED", atau "GENERIC_EVENT".
`network.ip_protocol`	`network.ip_protocol`	Tetapkan ke "TCP" jika pesan berisi "TCP".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.