Coletar registros do Cambium Networks

Com suporte em:

Este documento explica como ingerir registros do Cambium Networks no Google Security Operations usando o agente do Bindplane.

Os switches e dispositivos sem fio do Cambium Networks geram mensagens syslog para eventos de rede, alertas do SDI e atividade da estação. O analisador extrai pares de chave-valor de mensagens syslog e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e os dispositivos do Cambium Networks
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
  • Acesso administrativo aos dispositivos do Cambium Networks

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão.

  4. Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

    O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para outras opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cambium_networks:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CAMBIUM_NETWORKS
        raw_log_field: body

service:
    pipelines:
        logs/cambium_networks_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cambium_networks

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor :

    • listen_address: endereço IP e porta a serem detectados:
      • 0.0.0.0 para detectar em todas as interfaces (recomendado)
      • A porta 514 é a porta syslog padrão (requer raiz no Linux; use 1514 para não raiz)

  • Configuração do exportador :

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: ID do cliente copiado do console do Google SecOps
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte Endpoints regionais para a lista completa

Salvar o arquivo de configuração

  • Depois de editar, salve o arquivo:
    • Linux: pressione Ctrl+O, depois Enter e Ctrl+X
    • Windows: clique em Arquivo > Salvar

Reiniciar o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o observIQ OpenTelemetry Collector.
      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar a exportação de syslog de dispositivos do Cambium Networks

O Cambium Networks tem várias famílias de dispositivos, cada uma com um caminho de configuração de syslog diferente.

ePMP 1000/2000/Force 180/200 e ePMP Elevate

  1. Faça login na GUI do Cambium Networks.
  2. Acesse Configurar > Sistema > Registro de syslog.
  3. Defina as configurações a seguir:
    • Máscara de syslog: clique em Selecionar tudo.
    • Servidor 1: insira o endereço IP do agente do Bindplane.
  4. Clique em Salvar.

ePMP 1000 HS e cnPilot E400/E500/E501

  1. Faça login na GUI do Cambium Networks.
  2. Acesse Configurar > Sistema > Registro de eventos.
  3. Defina as configurações a seguir:
    • Servidor syslog 1: insira o endereço IP do agente do Bindplane.
  4. Clique em Salvar.

  5. Opcional: faça login na CLI do dispositivo usando SSH e insira o seguinte comando para ativar o registro de nível de depuração:

    logging cnmaestro 7

  6. Salve e aplique as configurações.

cnPilot R200/R201/R190

  1. Faça login na GUI do Cambium Networks.
  2. Acesse Administração > Gerenciamento > Configurações de registro do sistema.
  3. Defina as configurações a seguir:
    • Ativar syslog: selecione Ativar.
    • Nível de syslog: selecione INFO.
    • Ativar syslog remoto: selecione Ativar.
    • Servidor syslog remoto: insira o endereço IP do agente do Bindplane.
  4. Clique em Salvar.

PMP 450/450i/450m AP

  1. Faça login na GUI do Cambium Networks.
  2. Acesse Configuração > cnMaestro.
  3. Defina o nível de registro de depuração do agente cnMaestro como INFO.
  4. Acesse Configuração > Syslog.
  5. Defina as configurações a seguir:
    • Uso do servidor DNS syslog: selecione Desativar nome de domínio DNS.
    • Servidor syslog: insira o endereço IP do agente do Bindplane.
    • Porta do servidor syslog: insira o número da porta do agente do Bindplane.
    • Transmitir syslog AP: selecione Ativado.
    • Transmitir syslog SM: selecione Ativado.
    • Nível mínimo de syslog: selecione info.
  6. Clique em Salvar.

PMP 450/450i/450m SM

  1. Faça login na GUI do Cambium Networks.
  2. Acesse Configuração > cnMaestro.
  3. Defina o nível de registro de depuração do agente cnMaestro como INFO.
  4. Acesse Configuração > Syslog.
  5. Defina as configurações a seguir:
    • Fonte de configuração de syslog: selecione AP preferido.
    • Uso do servidor DNS syslog: selecione Desativar nome de domínio DNS.
    • Servidor syslog: insira o endereço IP do agente do Bindplane.
    • Porta do servidor syslog: insira o número da porta do agente do Bindplane.
    • Transmissão de syslog: selecione Receber do AP.
    • Fonte de nível mínimo de syslog: selecione AP preferido.
    • Nível mínimo de syslog: selecione info.
  6. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
bssid read_only_udm.principal.mac Extraído de kv_fields usando a chave bssid.
canal read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields usando a chave channel. Parte de um rótulo.
host_name read_only_udm.principal.hostname Extraído da mensagem de registro usando o padrão grok.
ids_event read_only_udm.security_result.summary Extraído de kv_fields usando a chave ids_event.
ids_status read_only_udm.security_result.description Extraído de kv_fields usando a chave ids_status. Usado como descrição quando presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields usando a chave iap. Parte de um rótulo.
fabricante read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields usando a chave manufacturer. Parte de um rótulo.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields usando a chave rssi. Parte de um rótulo.
segurança read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields usando a chave security. Parte de um rótulo.
gravidade, read_only_udm.security_result.severity Mapeado da mensagem de registro usando o padrão grok. alert é mapeado para HIGH, warn é mapeado para MEDIUM, e todo o resto é mapeado para LOW.
gravidade, read_only_udm.security_result.severity_details Mapeado da mensagem de registro usando o padrão grok. Preserva o valor de gravidade original.
ssid read_only_udm.principal.application Extraído de kv_fields usando a chave ssid.
timestamp read_only_udm.metadata.event_timestamp Extraído da mensagem de registro usando o padrão grok e convertido em um carimbo de data/hora.
read_only_udm.metadata.event_type Determinado com base na presença de valores nos campos security_result e host_name. Se os dois campos estiverem presentes, o tipo de evento será definido como STATUS_UPDATE. Caso contrário, será GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key O valor desse campo é determinado pela lógica do analisador com base no par de chave-valor específico que está sendo processado. Os valores possíveis são: Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator e encryption_standard.
read_only_udm.security_result.description Se a gravidade for warn, esse campo vai receber o valor de kv_fields. Caso contrário, ele vai receber o valor de ids_status.

Registro de alterações

Consulte o registro de alterações desse analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.