Coletar registros do balanceador de carga de rede A10

Compatível com:

Este documento explica como exportar registros do balanceador de carga de rede A10 para o Google Security Operations usando um agente do Bindplane. Primeiro, o analisador usa padrões grok para extrair campos relevantes. Em seguida, ele usa instruções condicionais (if) para mapear os campos extraídos para o modelo de dados unificado (UDM) com base na presença e no conteúdo deles, categorizando o tipo de evento.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado ao balanceador de carga A10.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: A10_LOAD_BALANCER
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o servidor Syslog no balanceador de carga A10

  1. Estabeleça uma conexão SSH com o balanceador de carga A10 usando um cliente SSH.
  2. Entre no modo de configuração executando o seguinte comando:

    config
    
  3. Configure o servidor syslog remoto usando o seguinte comando:

    logging host <bindplane-server-ip> <port-number>
    
    • Substitua <bindplane-server-ip> pelo endereço IP do Bindplane e <port-number> pelo configurado no Bindplane. Por exemplo, 514.
  4. Defina o nível de gravidade usando o seguinte comando:

    logging level information
    
    • Isso envia mensagens informativas (como avisos e erros) ao agente do Bindplane.
  5. Verifique se o registro do syslog está ativado executando:

    logging enable
    
  6. Salve a configuração para garantir que ela persista após uma reinicialização:

    write memory
    
  • Exemplo de uma configuração completa da CLI:

    config
    logging host 192.168.1.100 514
    logging level info
    logging enable
    write memory
    

Tabela de mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
dns additional.fields.dns.value.string_value O valor é extraído do campo dns pelo padrão grok.
dns_server additional.fields.dns_server.value.string_value O valor é extraído do campo dns_server pelo padrão grok.
gslb additional.fields.gslb.value.string_value O valor é extraído do campo gslb pelo padrão grok.
host_name principal.hostname
principal.asset.hostname
O valor é extraído do campo host_name pelo padrão grok.
httpmethod network.http.method O valor é extraído do campo httpmethod pelo padrão grok.
partion_id additional.fields.partion_id.value.string_value O valor é extraído do campo partion_id pelo padrão grok.
prin_ip principal.ip
principal.asset.ip
O valor é extraído do campo prin_ip pelo padrão grok.
prin_mac principal.mac O valor é extraído do campo prin_mac pelo padrão grok, com pontos removidos e dois-pontos inseridos a cada dois caracteres.
prin_port principal.port O valor é extraído do campo prin_port pelo padrão grok e convertido em um número inteiro.
proto network.ip_protocol O valor é extraído do campo proto pelo padrão grok. Se o campo message contiver UDP, o valor será definido como UDP.
sessionid network.session_id O valor é extraído do campo sessionid pelo padrão grok.
status_code network.http.response_code O valor é extraído do campo status_code pelo padrão grok e convertido em um número inteiro.
tar_ip target.ip
target.asset.ip
O valor é extraído do campo tar_ip pelo padrão grok.
tar_mac target.mac O valor é extraído do campo tar_mac pelo padrão grok, com pontos removidos e dois-pontos inseridos a cada dois caracteres.
tar_port target.port O valor é extraído do campo tar_port pelo padrão grok e convertido em um número inteiro.
tempo metadata.event_timestamp.seconds O valor é analisado do campo time extraído pelo padrão grok, usando vários formatos de data possíveis.
url target.url O valor é extraído do campo url pelo padrão grok.
usuário principal.user.userid O valor é extraído do campo user pelo padrão grok.
N/A metadata.event_type Determinado pela lógica do analisador com base na presença de informações principais e de destino:
- NETWORK_CONNECTION: se as informações principais e de destino estiverem presentes.
- STATUS_UPDATE: se apenas informações principais estiverem presentes.
- GENERIC_EVENT: caso contrário.
N/A metadata.log_type Fixado no código como A10_LOAD_BALANCER.
N/A network.application_protocol Defina como HTTP se o campo proto for HTTP.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.