Raccogliere i log di Versa Networks Secure Access Service Edge (SASE)

Questo documento descrive come raccogliere i log di Versa Networks Secure Access Service Edge (SASE). L'analizzatore sintattico estrae le coppie chiave-valore dopo un filtro grok iniziale. Quindi, mappa questi valori al modello di dati unificato (UDM), gestendo vari formati di log come eventi firewall, log delle applicazioni e log degli allarmi, ed esegue conversioni e arricchimenti per campi specifici come il protocollo IP e il punteggio di rischio.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
• Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso con privilegi a Versa SASE.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: `/path/to/ingestion-authentication-file.json`
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: versa_networks_sase
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   
   

3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• In Linux, per riavviare Bindplane Agent, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare SASE di Versa Networks

Gli amministratori devono configurare i raccoglitori remoti su ogni nodo Versa Analytics per inoltrare i log a sistemi di terze parti.

Per configurare i nodi di analisi di Versa:

• Abilita l'inoltro dei log
• Abilita la registrazione dell'ID sessione

Abilita l'inoltro dei log

1. Accedi al server di analisi di Versa.
2. Vai alla CLI eseguendo il comando cli.
3. Passa alla modalità di configurazione eseguendo il comando configure, quindi inserisci load merge terminal.

4. Copia e incolla i seguenti comandi per configurare l'inoltro dei log:

   • Sostituisci <collector_ip> e <collector_port> con l'indirizzo IP e la porta del tuo raccoglitore syslog (Bindplane).

   set system analytics log-collector-exporter destination-address <collector_ip>
   set system analytics log-collector-exporter destination-port <collector_port>
   set system analytics log-collector-exporter transport tcp
   set system analytics log-collector-exporter log-types firewall-log
   set system analytics log-collector-exporter log-types threat-log
   commit
   

5. Salva la configurazione:

   save
   

Abilita la registrazione dell'ID sessione

Per registrare le informazioni relative all'IP, attiva la registrazione dell'ID sessione.

1. Accedi a Versa Director.
2. Passa alla visualizzazione del regista.
3. Vai a Configurazione > Dispositivi > Tenant > Dispositivo per accedere a Visualizzazione appliance.
4. Seleziona Configuration > Others > System > Configuration > Configuration.
5. Nel riquadro Parametri, fai clic su Modifica.
6. Nella finestra Modifica parametri, seleziona LEF.

7. Nella sezione Firewall, seleziona la casella di controllo Includi la registrazione dell'ID sessione.

8. Fai clic su OK.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.