Coletar registros do firewall Barracuda CloudGen

Este documento explica como ingerir registros do firewall Barracuda CloudGen no Google Security Operations usando o Bindplane.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Windows 2016 ou mais recente ou um host Linux com systemd
• Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
• Firewall CloudGen da Barracuda com firmware 8.3 ou mais recente
• Acesso privilegiado ao firewall da Barracuda

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'BARRACUDA_CLOUDGEN_FIREWALL'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID do cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Ativar o Syslog para o firewall Barracuda CloudGen

1. Faça login no Barracuda Firewall Control Center no nível da caixa.
2. Acesse Configuração > Configuração completa > Caixa > Serviços de infraestrutura > Streaming de syslog.
3. Clique no ícone Bloquear para ativar a edição.
4. Mude a opção Ativar streaming do Syslog para Sim.
5. Clique em Enviar alterações > Ativar.

Configurar filtros de dados de registro para o firewall Barracuda CloudGen

1. Acesse Configuração > Configuração completa > Caixa > Serviços de infraestrutura > Streaming de syslog.
2. Selecione Filtros de dados de registro.
3. Clique no menu Modo de configuração e selecione Mudar para a visualização avançada.
4. Clique no ícone Bloquear para ativar a edição.
5. Clique em add Adicionar para incluir uma nova entrada.
6. Insira um nome exclusivo na caixa de diálogo Filtros.
7. Clique em OK.
8. Na seção Dados de registro do Box afetados, selecione Registros enviados via syslog.
9. Clique em add Adicionar ao lado de Seleção de dados.
10. Dê um nome exclusivo ao grupo.
11. Clique em OK.
12. Selecione os seguintes itens em Seleção de dados ou suas categorias específicas para geração de registros:
    • Auth-All
    • Config-All
    • Control-All
    • Event-All
    • Firewall-All
    • Network-All
    • Settings-All
    • SSH-All
    • System-All
13. Selecione os seguintes itens em Tipos de mensagem ou sua gravidade específica para geração de registros:
    • Panic
    • Security
    • Fatal
    • Error
    • Warning
    • Notice
14. Clique em OK.
15. Clique em Enviar alterações > Ativar.

Configurar o destino do Logstream para o firewall Barracuda CloudGen

1. Acesse Configuração > Configuração completa > Caixa > Serviços de infraestrutura > Streaming de syslog.
2. Selecione Destinos de Logstream.
3. Clique no menu Modo de configuração e selecione Mudar para a visualização avançada.
4. Clique no ícone Bloquear para ativar a edição.
5. Clique em add Adicionar para incluir uma nova entrada.
6. Forneça um nome exclusivo para o destino.
7. Clique em OK.
8. Selecione o Destino do fluxo de registros recém-criado.
9. Clique em IP explícito.
10. Informe os seguintes detalhes de configuração:
    • Endereço IP de destino: insira o endereço IP do agente do Bindplane.
    • Porta de destino: insira o número da porta do agente do Bindplane.
    • Modo de transmissão: selecione UDP.
11. Clique em OK.
12. Clique em Enviar alterações > Ativar.

Configurar fluxos de dados de registro para o firewall Barracuda CloudGen

1. Acesse Configuração > Configuração completa > Caixa > Serviços de infraestrutura > Streaming de syslog.
2. Selecione Fluxos de dados de registros.
3. Clique no menu Modo de configuração e selecione Mudar para a visualização avançada.
4. Clique no ícone Bloquear para ativar a edição.
5. Clique em add Adicionar para incluir uma nova entrada.
6. Forneça um nome exclusivo para a configuração.
7. Clique em OK.
8. Defina Transmissões ativas como Sim.
9. Defina Destinos de registros como o destino criado anteriormente.
10. Defina Filtros de registros como o filtro criado anteriormente.
11. Clique em OK.
12. Clique em Enviar alterações > Ativar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.