Raccogli i log dell'appliance Broadcom SSL Visibility
Questo documento spiega come importare i log dell'appliance Broadcom SSL Visibility in Google Security Operations utilizzando l'agente Bindplane.
L'appliance Broadcom SSL Visibility fornisce l'ispezione del traffico SSL/TLS e genera messaggi syslog per eventi di sessione, azioni delle policy e dettagli della connessione TLS. Il parser estrae i campi utilizzando pattern grok e li mappa al modello UDM (Unified Data Model).
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e l'appliance Broadcom SSL Visibility
- Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi all'appliance Broadcom SSL Visibility
Scarica il file di autenticazione dell'importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Scarica l'ID cliente di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse di installazione aggiuntive
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/broadcom_ssl_va: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BROADCOM_SSL_VA raw_log_field: body service: pipelines: logs/broadcom_ssl_va_to_chronicle: receivers: - udplog exporters: - chronicle/broadcom_ssl_va
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: indirizzo IP e porta su cui ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- La porta
514è la porta syslog standard (richiede la root su Linux; utilizza1514per non root)
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione dell'importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente copiato dalla console Google SecOpsendpoint: URL dell'endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, consulta Endpoint regionali
- Stati Uniti:
Salva il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEnter, poiCtrl+X - Windows: fai clic su File > Salva
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per verificare la presenza di errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Servizi:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per verificare la presenza di errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura syslog per l'appliance Broadcom SSL Visibility
- Accedi all'interfaccia utente web dell'appliance SSL Visibility.
- Vai a Gestione della piattaforma > Logging remoto.
- Fai clic su Aggiungi.
- Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (impostazione predefinita 514).
- Protocollo: seleziona UDP.
- Struttura: seleziona una struttura syslog (ad esempio
local0). - Set di log: seleziona Log di sessione e appliance.
- Fai clic su Salva (la voce del server mostrerà Connesso dopo il primo heartbeat).
Tabella di mapping UDM
| Campo log | Mapping UDM | Funzione logica |
|---|---|---|
| action | security_result.action_details | Il valore di questo campo viene assegnato a security_result.action_details. |
| ciphersuite | network.tls.cipher | Il valore di questo campo viene assegnato a network.tls.cipher. |
| data | Questo campo viene utilizzato per estrarre altri campi, ma non viene mappato direttamente all'UDM. | |
| destip | target.ip | Il valore di questo campo viene assegnato a target.ip. |
| destport | target.port | Il valore di questo campo viene convertito in un numero intero e assegnato a target.port. |
| hostname | principal.hostname | Il valore di questo campo viene assegnato a principal.hostname. |
| pid | principal.process.pid | Il valore di questo campo viene assegnato a principal.process.pid. |
| prodlogid | metadata.product_log_id | Il valore di questo campo viene assegnato a metadata.product_log_id. |
| rule | security_result.rule_id | Il valore di questo campo viene assegnato a security_result.rule_id. |
| segment_id | about.labels.value | Il valore di questo campo viene assegnato a about.labels.value dove about.labels.key è segment_id. |
| srcip | principal.ip | Il valore di questo campo viene assegnato a principal.ip. |
| srcPort | principal.port | Il valore di questo campo viene convertito in un numero intero e assegnato a principal.port. |
| status | security_result.action | Il valore di questo campo determina il valore di security_result.action. Se contiene Success, il valore viene impostato su ALLOW, altrimenti su BLOCK. |
| timestamp | metadata.event_timestamp.seconds | Il valore di questo campo viene analizzato in un timestamp e la parte dei secondi viene assegnata a metadata.event_timestamp.seconds. |
| tlsversion | network.tls.version | Il valore di questo campo viene assegnato a network.tls.version. |
| about.resource.attribute.labels.key | Il valore di questo campo è impostato su Flag list. |
|
| about.resource.attribute.labels.value | Il valore di questo campo viene ricavato dal campo flag_list dopo aver subito alcune trasformazioni. |
|
| metadata.event_type | Il valore di questo campo è impostato su NETWORK_CONNECTION se entrambi i campi srcip e destip non sono vuoti. |
|
| metadata.log_type | Il valore di questo campo è impostato su BROADCOM_SSL_VA. |
|
| metadata.product_name | Il valore di questo campo è impostato su SSL Visibility. |
|
| metadata.vendor_name | Il valore di questo campo è impostato su Broadcom. |
|
| security_result.category | Il valore di questo campo è impostato su SOFTWARE_MALICIOUS. |
|
| target.application | Il valore di questo campo è impostato su ssldata. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.