收集 Ubiquiti Unifi 交换机日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Ubiquiti Unifi 交换机日志注入到 Google Security Operations。解析器使用 grok 模式从 syslog 消息中提取字段，将原始日志数据转换为符合统一数据模型 (UDM) 的结构化格式。它可处理各种日志格式，提取时间戳、主机名、说明和网络详情等关键信息，并使用其他上下文信息丰富数据，然后将其合并到最终的 UDM 事件中。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
搭载 systemd 的 Windows 2016 或更高版本或 Linux 主机
如果通过代理运行，请确保防火墙端口已根据 BindPlane 代理要求打开
对 Ubiquiti 控制器界面的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'UBIQUITI_SWITCH'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据您的基础架构需要替换端口和 IP 地址。
将 <CUSTOMER_ID 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Ubiquiti 交换机以发送控制平面 Syslog

登录 UniFi 控制器界面。
打开 Unifi Network。
依次前往设置 > 控制平面 >“集成”标签页。
找到活动日志记录 (Syslog) 部分。
启用 SIEM 服务器选项。
提供以下配置详细信息：
- 点击修改类别，然后添加所需的日志类别。
- 服务器地址：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号（必须为 UDP）。
点击应用更改。

配置 Ubquiti 交换机以发送 CyberSecure Syslog

登录 UniFi 控制器界面。
打开 Unifi Network。
依次前往设置 > CyberSecure >“流量日志记录”标签页。
找到活动日志记录 (Syslog) 部分。
启用 SIEM 服务器选项。
提供以下配置详细信息：
- 点击修改类别，然后添加所需的日志类别。
- 服务器地址：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理端口号（必须为 UDP）。
- 停用调试日志。
点击应用更改。

UDM 映射表

日志字段	UDM 映射	逻辑
`anomalies`	`security_result.detection_fields[].key`：“异常” `security_result.detection_fields[].value`：日志中的 `anomalies` 值	直接从原始日志中的 `anomalies` 字段映射。
`application`	`observer.application`	直接从原始日志中的 `application` 字段映射。
`assoc_status`	`security_result.detection_fields[].key`：“assoc_status” `security_result.detection_fields[].value`：日志中的 `assoc_status` 值	直接从原始日志中的 `assoc_status` 字段映射。
`asset_details`	`observer.asset.product_object_id`：使用 Grok 模式 `%{GREEDYDATA:asset_id},%{GREEDYDATA:asset_version}` 提取：使用 Grok 模式 `%{GREEDYDATA:asset_id},%{GREEDYDATA:asset_version}` `asset_software.version` 提取	系统会使用 grok 模式解析 `asset_details` 字段，以提取 `asset_id` 和 `asset_version`。
`asset_id`	`observer.asset.product_object_id`	直接从 `asset_details` 中提取的 `asset_id` 字段映射而来。
`asset_version`	`observer.asset.software.version`	直接从 `asset_details` 中提取的 `asset_version` 字段映射而来。
`bssid`	`principal.mac`	直接从原始日志中的 `bssid` 字段映射。
`description`	`metadata.description`	直接从原始日志中的 `description` 字段映射。
`device`	`metadata.product_name`	直接从原始日志中的 `device` 字段映射。如果不存在 `device`，则使用值“UBIQUITI_SWITCH”。
`dns_resp_seen`	`security_result.detection_fields[].key`：“dns_resp_seen” `security_result.detection_fields[].value`：日志中的 `dns_resp_seen` 值	直接从原始日志中的 `dns_resp_seen` 字段映射。
`DST`	`target.ip`	直接从原始日志中的 `DST` 字段映射。
`DPT`	`principal.port`	直接从原始日志中的 `DPT` 字段映射，并将其转换为整数。
`event_type`	`security_result.detection_fields[].key`：“event_type” `security_result.detection_fields[].value`：日志中的 `event_type` 值	直接从原始日志中的 `event_type` 字段映射。
`host`	`principal.hostname`	直接从原始日志中的 `host` 字段映射。
`ID`	`additional.fields[].key`：“ID” `additional.fields[].value.string_value`：日志中的 `ID` 值	直接从原始日志中的 `ID` 字段映射。
`IN`	`additional.fields[].key`：“IN” `additional.fields[].value.string_value`：日志中的 `IN` 值	直接从原始日志中的 `IN` 字段映射。
`interface`	`additional.fields[].key`：“接口” `additional.fields[].value.string_value`：日志中的 `interface` 值	直接从原始日志中的 `interface` 字段映射。
`LEN`	`additional.fields[].key`：“LEN” `additional.fields[].value.string_value`：日志中的 `LEN` 值	直接从原始日志中的 `LEN` 字段映射。
`mac`	`principal.mac`	直接从原始日志中的 `mac` 字段映射。
`metadata.event_type`	`metadata.event_type`	派生自解析器逻辑。如果 `state` 为“Down”，则设置为“STATUS_SHUTDOWN”；如果 `state` 为“Up”，则设置为“STATUS_STARTUP”；如果存在 `kv_msg` 和 `DST` 或 `principal_present` 为 true，则设置为“STATUS_UPDATE”；否则设置为“GENERIC_EVENT”。
`metadata.log_type`	`metadata.log_type`：“UBIQUITI_SWITCH”	由解析器设置的常量值。
`metadata.vendor_name`	`metadata.vendor_name`：“UBIQUITI”	由解析器设置的常量值。
`principal_ip`	`principal.ip`	直接从原始日志中的 `principal_ip` 字段映射。
`process_id`	`observer.process.pid`	直接从原始日志中的 `process_id` 字段映射。
`product_event_type`	`metadata.product_event_type`	直接从原始日志中的 `product_event_type` 字段映射。
`PROTO`	`network.ip_protocol`	直接从原始日志中的 `PROTO` 字段映射。如果 `PROTO` 为“ICMPv6”，则该值会更改为“ICMP”。
`query_1`	`target.administrative_domain`	直接从原始日志中的 `query_1` 字段映射。
`query_server_1`	`target.ip`	直接从原始日志中的 `query_server_1` 字段映射。
`radio`	`security_result.detection_fields[].key`：“radio” `security_result.detection_fields[].value`：日志中的 `radio` 值	直接从原始日志中的 `radio` 字段映射。
`satisfaction_now`	`security_result.detection_fields[].key`：“satisfaction_now” `security_result.detection_fields[].value`：日志中的 `satisfaction_now` 值	直接从原始日志中的 `satisfaction_now` 字段映射。
`source_port`	`principal.port`	直接从原始日志中的 `source_port` 字段映射，并将其转换为整数。
`SPT`	`target.port`	直接从原始日志中的 `SPT` 字段映射，并将其转换为整数。
`SRC`	`principal.ip`，`principal.hostname`	直接从原始日志中的 `SRC` 字段映射。
`sta`	`principal.mac`	直接从原始日志中的 `sta` 字段映射。
`state`	`additional.fields[].key`：“state” `additional.fields[].value.string_value`：日志中的 `state` 值	直接从原始日志中的 `state` 字段映射。
`timestamp`	`metadata.event_timestamp`	在经过日期过滤器解析后，直接从原始日志中的 `timestamp` 字段映射。
`TTL`	`additional.fields[].key`：“TTL” `additional.fields[].value.string_value`：日志中的 `TTL` 值	直接从原始日志中的 `TTL` 字段映射。
`vap`	`metadata.ingestion_labels[].key`：“Vap” `metadata.ingestion_labels[].value`：日志中的 `vap` 值	直接从原始日志中的 `vap` 字段映射。
`version`	`metadata.product_version`	直接从原始日志中的 `version` 字段映射。