收集 Broadcom SSL VA 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Broadcom 安全套接字层 (SSL) 可视性设备日志注入到 Google Security Operations。解析器使用一系列 grok
模式从 syslog 消息中提取字段,以匹配各种日志格式,然后使用 mutate
过滤器将提取的字段映射到相应的统一数据模型 (UDM) 架构属性,以实现一致的安全事件表示。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd
的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Broadcom SSL 可视性设备的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml
文件。通常,它位于 Linux 上的/etc/bindplane-agent/
目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'BROADCOM_SSL_VA' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>
替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json
更新为在获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 Broadcom SSL 可视性设备配置 Syslog
- 登录 SSL 可视性设备网页界面。
- 前往平台管理 > 远程日志记录。
- 点击添加。
- 提供以下配置详细信息:
- 主机:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号(默认值为 514)。
- 协议:选择 UDP。
- 设施:选择一个 Syslog 设施(例如
local0
)。 - Log Set:选择 Session and Appliance Logs。
- 点击保存(在第一次心跳后,服务器条目将显示已连接)。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
操作 | security_result.action_details | 此字段的值会分配给 security_result.action_details 。 |
ciphersuite | network.tls.cipher | 此字段的值会分配给 network.tls.cipher 。 |
数据 | 此字段用于提取其他字段,但不会直接映射到 UDM。 | |
destip | target.ip | 此字段的值会分配给 target.ip 。 |
destport | target.port | 此字段的值会转换为整数并分配给 target.port 。 |
主机名 | principal.hostname | 此字段的值会分配给 principal.hostname 。 |
pid | principal.process.pid | 此字段的值会分配给 principal.process.pid 。 |
prodlogid | metadata.product_log_id | 此字段的值会分配给 metadata.product_log_id 。 |
规则 | security_result.rule_id | 此字段的值会分配给 security_result.rule_id 。 |
segment_id | about.labels.value | 此字段的值会分配给 about.labels.value ,其中 about.labels.key 为 segment_id 。 |
srcip | principal.ip | 此字段的值会分配给 principal.ip 。 |
srcPort | principal.port | 此字段的值会转换为整数并分配给 principal.port 。 |
状态 | security_result.action | 此字段的值决定了 security_result.action 的值。如果包含 Success ,则将值设置为 ALLOW ,否则设置为 BLOCK 。 |
时间戳 | metadata.event_timestamp.seconds | 此字段的值会被解析为时间戳,并且秒部分会被分配给 metadata.event_timestamp.seconds 。 |
tlsversion | network.tls.version | 此字段的值会分配给 network.tls.version 。 |
about.resource.attribute.labels.key | 此字段的值设置为 Flag list 。 |
|
about.resource.attribute.labels.value | 此字段的值取自 flag_list 字段,但会经过一些转换。 |
|
metadata.event_type | 如果 srcip 和 destip 字段均不为空,则此字段的值设置为 NETWORK_CONNECTION 。 |
|
metadata.log_type | 此字段的值设置为 BROADCOM_SSL_VA 。 |
|
metadata.product_name | 此字段的值设置为 SSL Visibility 。 |
|
metadata.vendor_name | 此字段的值设置为 Broadcom 。 |
|
security_result.category | 此字段的值设置为 SOFTWARE_MALICIOUS 。 |
|
target.application | 此字段的值设置为 ssldata 。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。