Recolha registos de VA SSL da Broadcom
Compatível com:
Google secops
SIEM
Este documento explica como carregar registos do dispositivo de visibilidade da camada de ligação segura (SSL) da Broadcom para o Google Security Operations através do Bindplane. O analisador
extrai campos das mensagens syslog através de uma série de grok padrões para
corresponder a vários formatos de registo e, em seguida, mapeia os campos extraídos para os atributos do esquema do modelo de dados unificado (UDM) correspondentes através de mutate filtros para uma representação consistente de eventos de segurança.
Antes de começar
Certifique-se de que tem os seguintes pré-requisitos:
- Instância do Google SecOps
- Windows 2016 ou posterior, ou um anfitrião Linux com
systemd - Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
- Acesso privilegiado ao dispositivo de visibilidade SSL da Broadcom
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Instale o agente do Bindplane
Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.
Instalação do Windows
- Abra a Linha de comandos ou o PowerShell como administrador.
Execute o seguinte comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute o seguinte comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalação adicionais
Para ver opções de instalação adicionais, consulte o guia de instalação.
Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps
- Aceda ao ficheiro de configuração:
- Localize o ficheiro
config.yaml. Normalmente, encontra-se no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o ficheiro com um editor de texto (por exemplo,
nano,viou Bloco de notas).
- Localize o ficheiro
Edite o ficheiro
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'BROADCOM_SSL_VA' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
- Substitua
<customer_id>pelo ID de cliente real. - Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.
Reinicie o agente do Bindplane para aplicar as alterações
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configure o Syslog para o dispositivo de visibilidade SSL da Broadcom
- Inicie sessão na IU Web do SSL Visibility Appliance.
- Aceda a Gestão de plataformas > Registo remoto.
- Clique em Adicionar.
- Indique os seguintes detalhes de configuração:
- Anfitrião: introduza o endereço IP do agente do Bindplane.
- Porta: introduza o número da porta do agente Bindplane (predefinição: 514).
- Protocolo: selecione UDP.
- Instalação: selecione uma instalação do Syslog (por exemplo,
local0). - Conjunto de registos: selecione Registos de sessão e de dispositivos.
- Clique em Guardar (a entrada do servidor apresenta Ligado após o primeiro heartbeat).
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| ação | security_result.action_details | O valor deste campo é atribuído a security_result.action_details. |
| ciphersuite | network.tls.cipher | O valor deste campo é atribuído a network.tls.cipher. |
| dados | Este campo é usado para extrair outros campos, mas não é mapeado diretamente para o UDM. | |
| destip | target.ip | O valor deste campo é atribuído a target.ip. |
| destport | target.port | O valor deste campo é convertido em número inteiro e atribuído a target.port. |
| hostname | principal.hostname | O valor deste campo é atribuído a principal.hostname. |
| pid | principal.process.pid | O valor deste campo é atribuído a principal.process.pid. |
| prodlogid | metadata.product_log_id | O valor deste campo é atribuído a metadata.product_log_id. |
| regra | security_result.rule_id | O valor deste campo é atribuído a security_result.rule_id. |
| segment_id | about.labels.value | O valor deste campo é atribuído a about.labels.value, onde about.labels.key é segment_id. |
| srcip | principal.ip | O valor deste campo é atribuído a principal.ip. |
| srcPort | principal.port | O valor deste campo é convertido em número inteiro e atribuído a principal.port. |
| estado | security_result.action | O valor deste campo determina o valor de security_result.action. Se contiver Success, o valor é definido como ALLOW. Caso contrário, é BLOCK. |
| timestamp | metadata.event_timestamp.seconds | O valor deste campo é analisado para uma data/hora e a parte dos segundos é atribuída a metadata.event_timestamp.seconds. |
| tlsversion | network.tls.version | O valor deste campo é atribuído a network.tls.version. |
| about.resource.attribute.labels.key | O valor deste campo está definido como Flag list. |
|
| about.resource.attribute.labels.value | O valor deste campo é retirado do campo flag_list após sofrer algumas transformações. |
|
| metadata.event_type | O valor deste campo é definido como NETWORK_CONNECTION se os campos srcip e destip não estiverem vazios. |
|
| metadata.log_type | O valor deste campo está definido como BROADCOM_SSL_VA. |
|
| metadata.product_name | O valor deste campo está definido como SSL Visibility. |
|
| metadata.vendor_name | O valor deste campo está definido como Broadcom. |
|
| security_result.category | O valor deste campo está definido como SOFTWARE_MALICIOUS. |
|
| target.application | O valor deste campo está definido como ssldata. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.