Esta página foi traduzida pela API Cloud Translation.

Recolha registos de VPN SSL de redes de matrizes

Suportado em:

Google secops SIEM

Este documento explica como carregar registos de VPN SSL da Array Networks para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog, mapeando-os para o UDM. Usa padrões grok para identificar vários formatos de registos, incluindo pedidos HTTP, mensagens SSL e atualizações de estado genéricas. Em seguida, analisa condicionalmente pares de chave-valor e dados CSV nas mensagens para preencher campos UDM, como principal, destino, informações de rede e resultados de segurança. O analisador também processa diferentes tipos de eventos com base nos dados extraídos, categorizando-os como eventos de rede, eventos de utilizador ou eventos genéricos.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Uma instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado à consola de gestão ou ao dispositivo VPN SSL da Array Networks (série AG ou vxAG)

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARRAYNETWORKS_VPN'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog na VPN SSL da Array Networks

Inicie sessão na IU Web da consola de gestão de VPN SSL da Array Networks.
No menu de navegação do lado esquerdo, clique em FERRAMENTAS DE ADMINISTRAÇÃO.
Clique em Monitorização.
Clique no separador Registo.
Clique no subseparador Servidores Syslog.
Na secção CONFIGURAÇÃO DO SERVIDOR SYSLOG REMOTO, clique em Adicionar entrada do servidor.
Forneça os seguintes detalhes de configuração:
- IP do anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta do anfitrião: introduza o número da porta do agente Bindplane (por exemplo, 514).
- Protocolo: selecione UDP ou TCP, consoante a configuração do agente Bindplane.
- Porta de origem: deixe a predefinição ou especifique se for exigido pela configuração de rede.
- Nível: selecione Informativo.
Clique em Guardar para aplicar a configuração.
Clique em Guardar configuração na parte superior da página para manter as alterações.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento da UDM	Lógica
`clientip`	`principal.ip`	O endereço IP do cliente extraído do campo `clientip` na mensagem de registo não processada.
`column1`	`principal.ip`	Endereço IP extraído de `column1` no registo não processado.
`column1`	`principal.asset.ip`	Endereço IP extraído de `column1` no registo não processado.
`column3`	`network.received_bytes`	O número de bytes recebidos, convertido num inteiro não assinado.
`column4`	`network.http.method`	O método HTTP extraído de `column4` no registo não processado.
`column7`	`target.ip`	O endereço IP de destino extraído de `column7` no registo não processado.
`dport`	`target.port`	Porta de destino, convertida num número inteiro.
`dst`	`target.ip`	Endereço IP de destino.
`dst`	`target.asset.ip`	Endereço IP de destino.
`hostname`	`principal.hostname`	O nome de anfitrião extraído do campo `hostname` na mensagem de registo não processada.
`hostname`	`principal.asset.hostname`	O nome de anfitrião extraído do campo `hostname` na mensagem de registo não processada.
`http_method`	`network.http.method`	O método HTTP extraído da mensagem de registo não processada.
`id`	`principal.application`	O ID da aplicação do registo não processado.
`mac`	`principal.mac`	O endereço MAC extraído do campo `mac` na mensagem de registo não processada.
`msg`	`metadata.product_event_type`	O campo de mensagem do registo não processado, usado como o tipo de evento do produto. Também é usado para `security_result.description` depois de remover barras invertidas e aspas.
`product_name`	`metadata.product_name`	O nome do produto extraído da mensagem de registo não processada.
`prxy_ip`	`intermediary.ip`	Endereço IP do proxy.
`prxy_port`	`intermediary.port`	Porta proxy, convertida num número inteiro.
`response_code`	`network.http.response_code`	O código de resposta HTTP, convertido num número inteiro.
`security_result.action`	`security_result.action`	Determinado pela lógica do analisador com base no valor de `column2`. "BLOCK" se `column2` contiver "TCP_MISS"; caso contrário, "UNKNOWN_ACTION".
`security_result.description`	`security_result.description`	O campo de mensagem do registo não processado, após a remoção das barras invertidas e das aspas.
`sport`	`principal.port`	Porta de origem, convertida num número inteiro.
`src`	`principal.ip`	Endereço IP de origem.
`src`	`principal.asset.ip`	Endereço IP de origem.
`target_hostname`	`target.hostname`	O nome do anfitrião de destino extraído da mensagem de registo não processada.
`timestamp`	`metadata.event_timestamp`	A data/hora extraída da mensagem de registo não processada e analisada num objeto de data/hora.
`uri`	`target.url`	Parte do URL de destino. Combinado com `uri_param` para formar o URL completo.
`uri_param`	`target.url`	Parte do URL de destino. Combinado com `uri` para formar o URL completo.
`user`	`target.user.userid`	O nome de utilizador extraído da mensagem de registo não processada.
`user_agent_string`	`network.http.user_agent`	A string do agente do utilizador extraída da mensagem de registo não processada.
`vpn`	`target.user.group_identifiers`	O nome da VPN extraído da mensagem de registo não processada.
`metadata.event_type`	`metadata.event_type`	Determinado pela lógica do analisador com base numa combinação de campos como `has_principal`, `has_target`, `has_http_value` e `user`. Pode ser "NETWORK_HTTP", "NETWORK_CONNECTION", "STATUS_UPDATE", "USER_UNCATEGORIZED" ou "GENERIC_EVENT".
`network.ip_protocol`	`network.ip_protocol`	Definido como "TCP" se a mensagem contiver "TCP".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.