このページは Cloud Translation API によって翻訳されました。

Arbor Edge Defense のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Netscout（Arbor Edge Defense）ログを Google Security Operations に収集する方法について説明します。パーサーは、まず特定のベンダー定義形式に一致する grok パターンを使用して、未加工の syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドとその値を Google SecOps UDM スキーマ内の対応する属性にマッピングし、セキュリティイベントの標準化された表現と分析を可能にします。

始める前に

Google SecOps インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Netscout に対する特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARBOR_EDGE_DEFENSE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Netscout（Arbor Edge Defense）で Syslog エクスポートを構成する

Netscout ウェブ UI にログインします。
[管理] > [通知] > [グループ] を選択します。
[通知グループ] ウィンドウで、[通知グループを追加] をクリックします。
次の構成の詳細を指定します。
- 宛先: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート番号を入力します。
- Facility: 施設 Local0 を選択します。
- 重大度: [情報] を選択します。
[保存] をクリックします。
[Administration] > [Configuration Management] > [Commit] に移動するか、[Config Commit] を選択します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
cn2	principal.group.attribute.labels.value	空でない場合はマッピングされます。`cn2Label` を含む条件ロジックの一部。
cn2Label	principal.group.attribute.labels.key	`cn2` が空でない場合はマッピングされます。
cs2	principal.group.attribute.labels.value	空でない場合はマッピングされます。`cs2Label` を含む条件ロジックの一部。
cs2Label	principal.group.attribute.labels.key	`cs2` が空でない場合はマッピングされます。
cs3	security_result.detection_fields.value	空でない場合はマッピングされます。`cs3Label` を含む条件ロジックの一部。
cs3Label	security_result.detection_fields.key	`cs3` が空でない場合はマッピングされます。
cs6	security_result.threat_name	空でない場合はマッピングされます。
cs7	security_result.category_details	空でない場合は、接頭辞 `Threat Category:` と連結されます。
dpt	target.port	空または `0` でない場合、整数に変換されてマッピングされます。
dst	target.ip	空でない場合はマッピングされます。
msg	metadata.description	直接マッピングされます。
	principal.group.attribute.labels.key	`traffic_level`（`msg` から抽出）が空でない場合、`Traffic Level` に設定します。
	principal.group.attribute.labels.value	空でない場合は、`msg` から抽出された `traffic_level` に設定します。
	principal.group.attribute.labels.key	`group_name`（`msg` から抽出）が空でない場合、`Protection Group Name` に設定します。
	principal.group.attribute.labels.value	空でない場合は、`msg` から抽出された `group_name` に設定します。
proto	network.ip_protocol	値が `TCP` または `UDP` の場合は大文字に変換されてマッピングされます。
rt	metadata.event_timestamp.seconds	日付フィルタを使用してタイムスタンプに変換されます。
src	principal.ip	空でない場合はマッピングされます。
spt	principal.port	空または `0` でない場合、整数に変換されてマッピングされます。
	metadata.log_type	`ARBOR_EDGE_DEFENSE` にハードコードされています。
	metadata.vendor_name	`NETSCOUT` にハードコードされています。
	metadata.product_name	`ARBOR_EDGE_DEFENSE` にハードコードされています。
	metadata.product_version	CEF ヘッダーの `device_version` フィールドから抽出されます。
	metadata.product_event_type	CEF ヘッダーの `event_name` フィールドから抽出されます。
	intermediary.hostname	CEF ヘッダーの `intermediary_hostname` フィールドから抽出されます。
	security_result.rule_name	CEF ヘッダーの `security_rule_name` フィールドから抽出されます。
	security_result.action	`event_name` が `Blocked Host` の場合、`BLOCK` に設定します。
	security_result.action_details	`event_name` が `Blocked Host` の場合、`event_name` の値に設定します。
	security_result.severity	事前定義されたロジックに基づいて `severity` フィールドからマッピングされ、大文字に変換されます。
	metadata.event_type	`dst` と `src` の両方が空でない場合は `NETWORK_CONNECTION` に設定します。`src` のみが空でない場合は `STATUS_UPDATE` に設定します。それ以外の場合はデフォルトで `GENERIC_EVENT` になります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。