Coletar registros do Avigilon Access Control Manager

Compatível com:

Este documento explica como ingerir registros do Avigilon Access Control Manager no Google Security Operations usando o Bindplane.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
  • Avigilon Access Control Manager 6.38 ou versões mais recentes ou um appliance Unity Access 7.x
  • A licença Eventos – XML genérico (AC-SW-LIC-XML) foi aplicada.
  • Acesso privilegiado ao console da Web do Avigilon Access Control Manager.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'AVIGILON_ACCESS_LOGS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
    • Substitua <customer_id> pelo ID do cliente real.
    • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar XML de eventos para o Avigilon Access Manager

  1. Faça login na UI da Web do Avigilon ACM.
  2. Acesse Configurações > Colaborações > Adicionar colaboração.
  3. Selecione o eletrodoméstico correspondente.
  4. Defina Tipo como Eventos – XML genérico.
  5. Informe os seguintes detalhes de configuração:
    • Nome: insira um nome exclusivo para essa colaboração.
    • Host: insira o endereço IP do agente do Bindplane.
    • Número da porta: insira o número da porta do agente do Bindplane.
    • Marque a caixa de seleção Instalado para ativar essa configuração.
    • Marque a caixa de seleção Exigir TCP.
  6. Clique em Salvar.
  7. Selecione a guia Eventos.
  8. Selecione um Agendamento para quando a colaboração de eventos XML estiver ativa.
  9. Marque a caixa de seleção Enviar confirmações para incluir confirmações.
  10. Marque a caixa de seleção Enviar limpezas para incluir limpezas.
  11. Na seção Assinantes, selecione as categorias de evento que você quer exportar.
  12. Clique em Salvar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.