Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Arbor Edge Defense

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar los registros de Netscout (Arbor Edge Defense) en Google Security Operations con un agente de Bindplane. Primero, el analizador extrae campos de mensajes syslog sin procesar con un patrón grok que coincide con formatos específicos definidos por el proveedor. Luego, asigna los campos extraídos y sus valores a los atributos correspondientes dentro del esquema de UDM de Google SecOps, lo que permite la representación y el análisis estandarizados de los eventos de seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Netscout.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARBOR_EDGE_DEFENSE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura la exportación de Syslog en Netscout (Arbor Edge Defense)

Accede a la IU web de Netscout.
Selecciona Administración > Notificación > Grupos.
En la ventana Notification group, haz clic en Add notification group.
Proporciona los siguientes detalles de configuración:
- Destino: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el número de puerto del agente de Bindplane.
- Instalación: Selecciona la instalación Local0.
- Gravedad: Selecciona Informativa.
Haz clic en Guardar.
Ve a Administración > Administración de la configuración > Confirmar o selecciona Confirmar configuración.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
cn2	principal.group.attribute.labels.value	Se asigna si no está vacío. Parte de la lógica condicional que involucra a `cn2Label`.
cn2Label	principal.group.attribute.labels.key	Se asigna si `cn2` no está vacío.
cs2	principal.group.attribute.labels.value	Se asigna si no está vacío. Parte de la lógica condicional que involucra a `cs2Label`.
cs2Label	principal.group.attribute.labels.key	Se asigna si `cs2` no está vacío.
cs3	security_result.detection_fields.value	Se asigna si no está vacío. Parte de la lógica condicional que involucra a `cs3Label`.
cs3Label	security_result.detection_fields.key	Se asigna si `cs3` no está vacío.
cs6	security_result.threat_name	Se asigna si no está vacío.
cs7	security_result.category_details	Se concatena con el prefijo `Threat Category:` si no está vacío.
dpt	target.port	Se convierte en un número entero y se asigna si no está vacío o es `0`.
DST	target.ip	Se asigna si no está vacío.
msg	metadata.description	Se asigna directamente.
	principal.group.attribute.labels.key	Se establece en `Traffic Level` si `traffic_level` (extraído de `msg`) no está vacío.
	principal.group.attribute.labels.value	Se establece en el `traffic_level` extraído de `msg` si no está vacío.
	principal.group.attribute.labels.key	Se establece en `Protection Group Name` si `group_name` (extraído de `msg`) no está vacío.
	principal.group.attribute.labels.value	Se establece en el `group_name` extraído de `msg` si no está vacío.
protocolo	network.ip_protocol	Se convierte a mayúsculas y se asigna si el valor es `TCP` o `UDP`.
rt	metadata.event_timestamp.seconds	Se convirtió a marca de tiempo con el filtro de fecha.
src	principal.ip	Se asigna si no está vacío.
spt	principal.port	Se convierte en un número entero y se asigna si no está vacío o es `0`.
	metadata.log_type	Se codificó como `ARBOR_EDGE_DEFENSE`.
	metadata.vendor_name	Se codificó como `NETSCOUT`.
	metadata.product_name	Se codificó como `ARBOR_EDGE_DEFENSE`.
	metadata.product_version	Se extrae del campo `device_version` del encabezado de CEF.
	metadata.product_event_type	Se extrae del campo `event_name` del encabezado de CEF.
	intermediary.hostname	Se extrae del campo `intermediary_hostname` del encabezado de CEF.
	security_result.rule_name	Se extrae del campo `security_rule_name` del encabezado de CEF.
	security_result.action	Se establece en `BLOCK`, si `event_name` es `Blocked Host`.
	security_result.action_details	Se establece en el valor de `event_name` si `event_name` es `Blocked Host`.
	security_result.severity	Se asigna desde el campo `severity` según la lógica predefinida y se convierte a mayúsculas.
	metadata.event_type	Se establece en `NETWORK_CONNECTION` si `dst` y `src` no están vacíos, se establece en `STATUS_UPDATE` si solo `src` no está vacío y, de lo contrario, el valor predeterminado es `GENERIC_EVENT`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.