Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del balanceador de cargas de red A10

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo exportar registros del balanceador de cargas de red A10 a Google Security Operations con un agente de Bindplane. Primero, el analizador usa patrones grok para extraer los campos pertinentes. Luego, aprovecha las sentencias condicionales (if) para asignar los campos extraídos al modelo de datos unificado (UDM) según su presencia y contenido, y, en última instancia, categoriza el tipo de evento.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios al balanceador de cargas A10.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: A10_LOAD_BALANCER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el servidor Syslog en el balanceador de cargas A10

Establece una conexión SSH con el balanceador de cargas A10 a través de un cliente SSH.
Ejecuta el siguiente comando para ingresar al modo de configuración:
```
config
```
Configura el servidor syslog remoto con el siguiente comando:
```
logging host <bindplane-server-ip> <port-number>
```
- Reemplaza <bindplane-server-ip> por la dirección IP de BindPlane y <port-number> por el puerto configurado en BindPlane; por ejemplo, 514.
Para establecer el nivel de gravedad, usa el siguiente comando:
```
logging level information
```
- Esto enviará mensajes informativos (como advertencias y errores) al agente de Bindplane.
Para asegurarte de que el registro de syslog esté habilitado, ejecuta el siguiente comando:
```
logging enable
```
Guarda la configuración para asegurarte de que persista después de un reinicio:
```
write memory
```

Ejemplo de una configuración completa de la CLI:

config
logging host 192.168.1.100 514
logging level info
logging enable
write memory

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
dns	additional.fields.dns.value.string_value	El valor se toma del campo `dns` que extrae el patrón de Grok.
dns_server	additional.fields.dns_server.value.string_value	El valor se toma del campo `dns_server` que extrae el patrón de Grok.
gslb	additional.fields.gslb.value.string_value	El valor se toma del campo `gslb` que extrae el patrón de Grok.
host_name	principal.hostname principal.asset.hostname	El valor se toma del campo `host_name` que extrae el patrón de Grok.
httpmethod	network.http.method	El valor se toma del campo `httpmethod` que extrae el patrón de Grok.
partion_id	additional.fields.partion_id.value.string_value	El valor se toma del campo `partion_id` que extrae el patrón de Grok.
prin_ip	principal.ip principal.asset.ip	El valor se toma del campo `prin_ip` que extrae el patrón de Grok.
prin_mac	principal.mac	El valor se toma del campo `prin_mac` que extrae el patrón de Grok, con los puntos quitados y los dos puntos insertados cada dos caracteres.
prin_port	principal.port	El valor se toma del campo `prin_port` que extrae el patrón de Grok y se convierte en un número entero.
protocolo	network.ip_protocol	El valor se toma del campo `proto` que extrae el patrón de Grok. Si el campo `message` contiene `UDP`, el valor se establece en `UDP`.
sessionid	network.session_id	El valor se toma del campo `sessionid` que extrae el patrón de Grok.
status_code	network.http.response_code	El valor se toma del campo `status_code` que extrae el patrón de Grok y se convierte en un número entero.
tar_ip	target.ip target.asset.ip	El valor se toma del campo `tar_ip` que extrae el patrón de Grok.
tar_mac	target.mac	El valor se toma del campo `tar_mac` que extrae el patrón de Grok, con los puntos quitados y los dos puntos insertados cada dos caracteres.
tar_port	target.port	El valor se toma del campo `tar_port` que extrae el patrón de Grok y se convierte en un número entero.
hora	metadata.event_timestamp.seconds	El valor se analiza a partir del campo `time` que extrae el patrón de Grok, con varios formatos de fecha posibles.
url	target.url	El valor se toma del campo `url` que extrae el patrón de Grok.
usuario	principal.user.userid	El valor se toma del campo `user` que extrae el patrón de Grok.
N/A	metadata.event_type	La lógica del analizador determina la presencia de información sobre el principal y el objetivo: - `NETWORK_CONNECTION`: Si están presentes la información sobre el principal y el objetivo. - `STATUS_UPDATE`: Si solo hay información principal. - `GENERIC_EVENT`: De lo contrario.
N/A	metadata.log_type	Se codificó como `A10_LOAD_BALANCER`.
N/A	network.application_protocol	Se establece en `HTTP` si el campo `proto` es `HTTP`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.