Diese Seite wurde von der Cloud Translation API übersetzt.

Arbor Edge Defense-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die Netscout-Logs (Arbor Edge Defense) mit einem Bindplane-Agenten in Google Security Operations erfassen. Der Parser extrahiert zuerst Felder aus Roh-Syslog-Nachrichten mit einem Grok-Muster, das bestimmten vom Anbieter definierten Formaten entspricht. Anschließend werden die extrahierten Felder und ihre Werte den entsprechenden Attributen im UDM-Schema von Google SecOps zugeordnet, was eine standardisierte Darstellung und Analyse von Sicherheitsereignissen ermöglicht.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen Lese- und Schreibzugriff auf Netscout.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARBOR_EDGE_DEFENSE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Export auf Netscout (Arbor Edge Defense) konfigurieren

Melden Sie sich in der Netscout an.
Wählen Sie Verwaltung > Benachrichtigung > Gruppen aus.
Klicken Sie im Fenster Benachrichtigungsgruppe auf Benachrichtigungsgruppe hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Ziel: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein.
- Einrichtung: Wählen Sie die Einrichtung Local0 aus.
- Schweregrad: Wählen Sie Informationsmeldung aus.
Klicken Sie auf Speichern.
Gehen Sie zu Verwaltung > Konfigurationsverwaltung > Commit oder wählen Sie Config Commit aus.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
cn2	principal.group.attribute.labels.value	Zugewiesen, wenn nicht leer. Teil der bedingten Logik, die `cn2Label` enthält.
cn2Label	principal.group.attribute.labels.key	Wird zugeordnet, wenn `cn2` nicht leer ist.
cs2	principal.group.attribute.labels.value	Zugewiesen, wenn nicht leer. Teil der bedingten Logik, die `cs2Label` enthält.
cs2Label	principal.group.attribute.labels.key	Wird zugeordnet, wenn `cs2` nicht leer ist.
cs3	security_result.detection_fields.value	Zugewiesen, wenn nicht leer. Teil der bedingten Logik, die `cs3Label` enthält.
cs3Label	security_result.detection_fields.key	Wird zugeordnet, wenn `cs3` nicht leer ist.
cs6	security_result.threat_name	Zugewiesen, wenn nicht leer.
cs7	security_result.category_details	Wird mit dem Präfix `Threat Category:` zusammengeführt, wenn es nicht leer ist.
dpt	target.port	Wird in eine Ganzzahl konvertiert und zugeordnet, wenn sie nicht leer oder `0` ist.
dst	target.ip	Zugewiesen, wenn nicht leer.
msg	metadata.description	Direkt zugeordnet.
	principal.group.attribute.labels.key	Wird auf `Traffic Level` gesetzt, wenn `traffic_level` (aus `msg` extrahiert) nicht leer ist.
	principal.group.attribute.labels.value	Wird auf die aus `msg` extrahierte `traffic_level` gesetzt, sofern nicht leer.
	principal.group.attribute.labels.key	Wird auf `Protection Group Name` gesetzt, wenn `group_name` (aus `msg` extrahiert) nicht leer ist.
	principal.group.attribute.labels.value	Wird auf die extrahierte `group_name` aus `msg` gesetzt, sofern nicht leer.
Proto	network.ip_protocol	Wird in Großbuchstaben umgewandelt und zugeordnet, wenn der Wert `TCP` oder `UDP` ist.
rt	metadata.event_timestamp.seconds	Mit dem Datumsfilter in einen Zeitstempel konvertiert.
src	principal.ip	Zugewiesen, wenn nicht leer.
spt	principal.port	Wird in eine Ganzzahl konvertiert und zugeordnet, wenn sie nicht leer oder `0` ist.
	metadata.log_type	Hartcodiert auf `ARBOR_EDGE_DEFENSE`.
	metadata.vendor_name	Hartcodiert auf `NETSCOUT`.
	metadata.product_name	Hartcodiert auf `ARBOR_EDGE_DEFENSE`.
	metadata.product_version	Aus dem Feld `device_version` der CEF-Header extrahiert.
	metadata.product_event_type	Aus dem Feld `event_name` der CEF-Header extrahiert.
	intermediary.hostname	Aus dem Feld `intermediary_hostname` der CEF-Header extrahiert.
	security_result.rule_name	Aus dem Feld `security_rule_name` der CEF-Header extrahiert.
	security_result.action	Wird auf `BLOCK` gesetzt, wenn `event_name` gleich `Blocked Host` ist.
	security_result.action_details	Wird auf den Wert von `event_name` gesetzt, wenn `event_name` gleich `Blocked Host` ist.
	security_result.severity	Wurde basierend auf vordefinierter Logik dem Feld `severity` zugeordnet und in Großbuchstaben konvertiert.
	metadata.event_type	Setzen Sie den Wert auf `NETWORK_CONNECTION`, wenn sowohl `dst` als auch `src` nicht leer sind, auf `STATUS_UPDATE`, wenn nur `src` nicht leer ist, andernfalls auf `GENERIC_EVENT`.

Änderungen

2023-02-21

Optimierung:

protection_Group_Name,traffic_level wurde principal.group.attribute.labels zugeordnet.

2022-11-03

Optimierung:

Der Wert „hostname“ wurde aus dem Syslog-Header extrahiert und intermediary.hostname zugeordnet.
msg wurde metadata.description zugeordnet.
Der Wert von group_name, traffic_level wurde aus dem Feld msg extrahiert und principal.group.attribute.labels zugeordnet.
cs3Label, cs3 wurde security_result.detection_fields zugeordnet.
cs7 wurde security_result.category_details zugeordnet.

2022-09-30

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten