Esta página foi traduzida pela API Cloud Translation.

Coletar registros da Arbor Edge Defense

Compatível com:

Google SecOps SIEM

Este documento explica como coletar os registros do Netscout (Arbor Edge Defense) para as operações de segurança do Google usando um agente do Bindplane. O analisador primeiro extrai campos de mensagens syslog brutas usando um padrão grok que corresponde a formatos específicos definidos pelo fornecedor. Em seguida, ele mapeia os campos extraídos e os valores deles para os atributos correspondentes no esquema UDM do Google SecOps, permitindo a representação e análise padronizadas dos eventos de segurança.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Netscout.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARBOR_EDGE_DEFENSE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar a exportação de Syslog no Netscout (Arbor Edge Defense)

Faça login na UI da Web da Netscout.
Selecione Administração > Notificação > Grupos.
Na janela Grupo de notificações, clique em Adicionar grupo de notificações.
Informe os seguintes detalhes de configuração:
- Destino: insira o endereço IP do agente do Bindplane.
- Porta: insira o número da porta do agente do Bindplane.
- Facility: selecione a instalação Local0.
- Gravidade: selecione Informativo.
Clique em Salvar.
Acesse Administração > Gerenciamento de configuração > Confirmação ou selecione Confirmação de configuração.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
cn2	principal.group.attribute.labels.value	Mapeado se não estiver vazio. Parte da lógica condicional que envolve `cn2Label`.
cn2Label	principal.group.attribute.labels.key	Será mapeado se `cn2` não estiver vazio.
cs2	principal.group.attribute.labels.value	Mapeado se não estiver vazio. Parte da lógica condicional que envolve `cs2Label`.
cs2Label	principal.group.attribute.labels.key	Será mapeado se `cs2` não estiver vazio.
cs3	security_result.detection_fields.value	Mapeado se não estiver vazio. Parte da lógica condicional que envolve `cs3Label`.
cs3Label	security_result.detection_fields.key	Será mapeado se `cs3` não estiver vazio.
cs6	security_result.threat_name	Mapeado se não estiver vazio.
cs7	security_result.category_details	Concatenado com o prefixo `Threat Category:`, se não estiver vazio.
dpt	target.port	Conversão em número inteiro e mapeamento se não estiver vazio ou `0`.
dst	target.ip	Mapeado se não estiver vazio.
msg	metadata.description	Mapeado diretamente.
	principal.group.attribute.labels.key	Defina como `Traffic Level` se `traffic_level` (extraído de `msg`) não estiver vazio.
	principal.group.attribute.labels.value	Defina como o `traffic_level` extraído de `msg` se não estiver vazio.
	principal.group.attribute.labels.key	Defina como `Protection Group Name` se `group_name` (extraído de `msg`) não estiver vazio.
	principal.group.attribute.labels.value	Defina como o `group_name` extraído de `msg` se não estiver vazio.
proto	network.ip_protocol	Convertido em maiúsculas e mapeado se o valor for `TCP` ou `UDP`.
rt	metadata.event_timestamp.seconds	Convertido em carimbo de data/hora usando o filtro de data.
src	principal.ip	Mapeado se não estiver vazio.
spt	principal.port	Conversão em número inteiro e mapeamento se não estiver vazio ou `0`.
	metadata.log_type	Fixado em `ARBOR_EDGE_DEFENSE`.
	metadata.vendor_name	Fixado em `NETSCOUT`.
	metadata.product_name	Fixado em `ARBOR_EDGE_DEFENSE`.
	metadata.product_version	Extraídos do campo `device_version` do cabeçalho CEF.
	metadata.product_event_type	Extraídos do campo `event_name` do cabeçalho CEF.
	intermediary.hostname	Extraídos do campo `intermediary_hostname` do cabeçalho CEF.
	security_result.rule_name	Extraídos do campo `security_rule_name` do cabeçalho CEF.
	security_result.action	Defina como `BLOCK` se `event_name` for `Blocked Host`.
	security_result.action_details	Defina como o valor de `event_name` se `event_name` for `Blocked Host`.
	security_result.severity	Mapeado do campo `severity` com base na lógica predefinida e convertido para maiúsculas.
	metadata.event_type	Defina como `NETWORK_CONNECTION` se `dst` e `src` não estiverem vazios. Defina como `STATUS_UPDATE` se apenas `src` não estiver vazio. Caso contrário, o padrão será `GENERIC_EVENT`.

Alterações

2023-02-21

Melhoria:

Mapeou protection_Group_Name,traffic_level para principal.group.attribute.labels.

2022-11-03

Melhoria:

Extraiu o valor do nome do host do cabeçalho do syslog e o mapeou para intermediary.hostname.
msg foi mapeado para metadata.description.
O valor extraído de group_name, traffic_level do campo msg foi mapeado para principal.group.attribute.labels.
Mapeou cs3Label, cs3 para security_result.detection_fields.
cs7 foi mapeado para security_result.category_details.

2022-09-30

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.