Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de los módems Digi

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de módems Digi a Google Security Operations con el agente de Bindplane.

Los módems Digi son módems celulares industriales que generan mensajes de syslog para eventos de acceso, intentos de autenticación y conexiones de red. El analizador extrae campos con patrones de Grok y los asigna al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el módem Digi
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la IU web de Digi Remote Manager o del módem Digi local

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debería mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/digi_modems:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: DIGI_MODEMS
        raw_log_field: body

service:
    pipelines:
        logs/digi_modems_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/digi_modems

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- listen_address: Dirección IP y puerto que se escucharán:
  - 0.0.0.0 para escuchar en todas las interfaces (recomendado)
  - El puerto 514 es el puerto estándar de syslog (requiere acceso raíz en Linux; usa 1514 para acceso no raíz).
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado de la consola de Google SecOps
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Servicios:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el servidor syslog en el módem Digi

Accede a Digi Remote Manager o a la IU web local de Digi Modem.
Accede a la configuración del dispositivo con Administrador remoto:
- Ubica el dispositivo para el que deseas configurar el registro del sistema.
- Haz clic en ID del dispositivo > Configuración > Config.
Accede a la configuración del dispositivo con la IU web local del módem Digi:
- Haz clic en System > Configuration > Device Configuration.
Ve a System > Log.
Haz clic para expandir la Lista de servidores.
Haz clic en Agregar servidor +.
Proporciona los siguientes detalles de configuración:
- Servidor: Ingresa la dirección IP del agente de Bindplane.
- Selecciona las categorías de eventos que se enviarán al servidor (todas las categorías de eventos están habilitadas de forma predeterminada).
- Puerto de salida de Syslog: Ingresa el número de puerto del agente de Bindplane (el valor predeterminado es 514).
- Protocolo: Selecciona UDP.
Haz clic en Aplicar.

Registros de muestra de módems Digi compatibles

SYSLOG

{
  "priority": 14,
  "timestamp": "Dec 28 17:27:45",
  "hostname": "host-device.router",
  "tag": "Eventlog",
  "message": "17:27:33, 28 Dec 2006,Login failure by Host: 10.0.0.25:23: CMD,Telnet"
}

SYSLOG

{
  "priority": 14,
  "timestamp": "May 25 11:03:55",
  "hostname": "internal-srv-01",
  "tag": "Eventlog",
  "message": "11:03:55, 25 May 2023,Login failure by sanitized_user: WEB"
}

SYSLOG

{
  "priority": 14,
  "timestamp": "Jun 11 23:58:26",
  "hostname": "internal-srv-01",
  "tag": "Eventlog",
  "message": "23:58:26, 11 Jun 2023,Login failure by GET /masked_path HTTP/1.0: CMD,Telnet"
}

SYSLOG

{
  "priority": 14,
  "timestamp": "Jun 19 19:52:19",
  "hostname": "gateway-device-02",
  "tag": "Eventlog",
  "message": "19:52:18, 19 Jun 2023,WEB Login OK by internal_admin lvl 0"
}

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
contenido	security_result.description	Se asigna directamente desde el campo `content` después del análisis inicial de grok.
http_method	network.http.method	Se extrae del campo `content` con un patrón de grok.
http_version	network.application_protocol_version	Se extrae del campo `content` con un patrón de grok.
Nombre de host	principal.hostname	Se extrae del mensaje de registro con un patrón de grok.
ip	target.ip	Se extrae del campo `content` con un patrón de grok.
puerto	target.port	Se extrae del campo `content` con un patrón de grok y se convierte en un número entero.
protocolo	network.application_protocol	Se extrae del campo `content` con un patrón de grok.
ts	metadata.event_timestamp	Se extrae del mensaje de registro con un patrón de grok y se convierte en una marca de tiempo.
tipo	login_type_label.value	Se extrae del campo `content` con un patrón de grok.
	extensions.auth.type	La lógica del analizador la establece en `MACHINE`.
	login_type_label.key	La lógica del analizador la establece en `Login type`.
	metadata.event_type	Se determina por la presencia de campos específicos, como `ip` o `user`, y se establece en `NETWORK_CONNECTION` o `USER_LOGIN` según corresponda.
	metadata.log_type	La lógica del analizador la establece en `DIGI_MODEMS`.
	metadata.product_event_type	Se extrae del campo `product_type` en el mensaje de registro.
	metadata.product_name	La lógica del analizador la establece en `DIGI_MODEMS`.
	metadata.vendor_name	La lógica del analizador la establece en `DIGI_MODEMS`.
	security_result.action	Se determina por la presencia de `Login OK` o `Login failure` en el mensaje y se establece en `ALLOW` o `BLOCK`, respectivamente.
usuario	target.user.userid	Se extrae del campo `content` con un patrón de grok.

Registro de cambios

Consulta el registro de cambios de este analizador

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.