Collecter les journaux Cambium Networks

Compatible avec :

Ce document explique comment ingérer des journaux Cambium Networks dans Google Security Operations à l'aide de l'agent Bindplane.

Les commutateurs et les appareils sans fil Cambium Networks génèrent des messages syslog pour les événements réseau, les alertes IDS et l'activité des stations. L'analyseur extrait les paires clé-valeur des messages syslog et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et les appareils Cambium Networks
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès administrateur aux appareils Cambium Networks

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
  3. Téléchargez le fichier d'authentification d'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système où l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM > Profil.

  3. Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez que l'installation se termine.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    Le service doit afficher l'état RUNNING (En cours d'exécution).

Installation de Linux

  1. Ouvrez un terminal avec des droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez que l'installation se termine.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    Le service doit afficher l'état active (running) (actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et des informations sur le dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cambium_networks:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CAMBIUM_NETWORKS
        raw_log_field: body

service:
    pipelines:
        logs/cambium_networks_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cambium_networks

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • listen_address: adresse IP et port à écouter :
      • 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
      • Le port 514 est le port Syslog standard (nécessite un accès root sous Linux ; utilisez 1514 pour un accès non root).

  • Configuration de l'exportateur :

    • creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id : ID client copié depuis la console Google SecOps
    • endpoint: URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe: europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
      • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrer le fichier de configuration

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Recherchez observIQ OpenTelemetry Collector.
      3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer l'exportation Syslog depuis les appareils Cambium Networks

Cambium Networks propose plusieurs familles d'appareils, chacune avec un chemin de configuration Syslog différent.

ePMP 1000/2000/Force 180/200 et ePMP Elevate

  1. Connectez-vous à l'interface graphique Cambium Networks.
  2. Accédez à Configure > System > Syslog Logging (Configurer > Système > Journalisation Syslog).
  3. Configurez les paramètres suivants :
    • Syslog Mask (Masque Syslog) : cliquez sur Select All (Tout sélectionner).
    • Server 1 (Serveur 1) : saisissez l'adresse IP de l'agent Bindplane.
  4. Cliquez sur Save (Enregistrer).

ePMP 1000 HS et cnPilot E400/E500/E501

  1. Connectez-vous à l'interface graphique Cambium Networks.
  2. Accédez à Configure > System > Event Logging (Configurer > Système > Journalisation des événements).
  3. Configurez les paramètres suivants :
    • Syslog Server 1 (Serveur Syslog 1) : saisissez l'adresse IP de l'agent Bindplane.
  4. Cliquez sur Save (Enregistrer).

  5. Facultatif : connectez-vous à l'CLI de l'appareil à l'aide de SSH et saisissez la commande suivante pour activer la journalisation au niveau du débogage :

    logging cnmaestro 7

  6. Enregistrez et appliquez les paramètres.

cnPilot R200/R201/R190

  1. Connectez-vous à l'interface graphique Cambium Networks.
  2. Accédez à Administration > Management > System Log Settings (Administration > Gestion > Paramètres du journal système).
  3. Configurez les paramètres suivants :
    • Syslog Enable (Activer Syslog) : sélectionnez Enable (Activer).
    • Syslog Level (Niveau Syslog) : sélectionnez INFO.
    • Remote Syslog Enable (Activer Syslog distant) : sélectionnez Enable (Activer).
    • Remote Syslog Server (Serveur Syslog distant) : saisissez l'adresse IP de l'agent Bindplane.
  4. Cliquez sur Save (Enregistrer).

PMP 450/450i/450m AP

  1. Connectez-vous à l'interface graphique Cambium Networks.
  2. Accédez à Configuration > cnMaestro.
  3. Définissez cnMaestro Agent Debug Log Level (Niveau du journal de débogage de l'agent cnMaestro) sur INFO.
  4. Accédez à Configuration > Syslog.
  5. Configurez les paramètres suivants :
    • Syslog DNS Server Usage (Utilisation du serveur DNS Syslog) : sélectionnez Disable DNS Domain Name (Désactiver le nom de domaine DNS).
    • Syslog Server (Serveur Syslog) : saisissez l'adresse IP de l'agent Bindplane.
    • Syslog Server Port (Port du serveur Syslog) : saisissez le numéro de port de l'agent Bindplane.
    • AP Syslog Transmit (Transmission Syslog AP) : sélectionnez Enabled (Activé).
    • SM Syslog Transmit (Transmission Syslog SM) : sélectionnez Enabled (Activé).
    • Syslog Minimum Level (Niveau minimal Syslog) : sélectionnez info.
  6. Cliquez sur Save (Enregistrer).

PMP 450/450i/450m SM

  1. Connectez-vous à l'interface graphique Cambium Networks.
  2. Accédez à Configuration > cnMaestro.
  3. Définissez cnMaestro Agent Debug Log Level (Niveau du journal de débogage de l'agent cnMaestro) sur INFO.
  4. Accédez à Configuration > Syslog.
  5. Configurez les paramètres suivants :
    • Syslog Configuration Source (Source de configuration Syslog) : sélectionnez AP Preferred (AP préféré).
    • Syslog DNS Server Usage (Utilisation du serveur DNS Syslog) : sélectionnez Disable DNS Domain Name (Désactiver le nom de domaine DNS).
    • Syslog Server (Serveur Syslog) : saisissez l'adresse IP de l'agent Bindplane.
    • Syslog Server Port (Port du serveur Syslog) : saisissez le numéro de port de l'agent Bindplane.
    • Syslog Transmission (Transmission Syslog) : sélectionnez Obtain from AP (Obtenir depuis AP).
    • Syslog Minimum Level Source (Source du niveau minimal Syslog) : sélectionnez AP Preferred (AP préféré).
    • Syslog Minimum Level (Niveau minimal Syslog) : sélectionnez info.
  6. Cliquez sur Save (Enregistrer).

Table de mappage UDM

Champ du journal Mappage UDM Logique
bssid read_only_udm.principal.mac Extrait de kv_fields à l'aide de la clé bssid.
channel read_only_udm.security_result.about.resource.attribute.labels.value Extrait de kv_fields à l'aide de la clé channel. Partie d'un libellé.
host_name read_only_udm.principal.hostname Extrait du message de journal à l'aide du modèle grok.
ids_event read_only_udm.security_result.summary Extrait de kv_fields à l'aide de la clé ids_event.
ids_status read_only_udm.security_result.description Extrait de kv_fields à l'aide de la clé ids_status. Utilisé comme description lorsqu'il est présent.
iap read_only_udm.security_result.about.resource.attribute.labels.value Extrait de kv_fields à l'aide de la clé iap. Partie d'un libellé.
manufacturer read_only_udm.security_result.about.resource.attribute.labels.value Extrait de kv_fields à l'aide de la clé manufacturer. Partie d'un libellé.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Extrait de kv_fields à l'aide de la clé rssi. Partie d'un libellé.
security read_only_udm.security_result.about.resource.attribute.labels.value Extrait de kv_fields à l'aide de la clé security. Partie d'un libellé.
severity read_only_udm.security_result.severity Mappé à partir du message de journal à l'aide du modèle grok. alert est mappé sur HIGH, warn est mappé sur MEDIUM, et tout le reste est mappé sur LOW.
severity read_only_udm.security_result.severity_details Mappé à partir du message de journal à l'aide du modèle grok. Conserve la valeur de gravité d'origine.
ssid read_only_udm.principal.application Extrait de kv_fields à l'aide de la clé ssid.
timestamp read_only_udm.metadata.event_timestamp Extrait du message de journal à l'aide du modèle grok et converti en code temporel.
read_only_udm.metadata.event_type Déterminé en fonction de la présence de valeurs dans les champs security_result et host_name. Si les deux champs sont présents, le type d'événement est défini sur STATUS_UPDATE. Sinon, il est défini sur GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key La valeur de ce champ est déterminée par la logique de l'analyseur en fonction de la paire clé-valeur spécifique en cours de traitement. Les valeurs possibles sont les suivantes : Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator et encryption_standard.
read_only_udm.security_result.description Si la gravité est warn, ce champ prend la valeur de kv_fields. Sinon, il prend la valeur de ids_status.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.