Cambium Networks-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cambium Networks-Logs mithilfe von Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Schlüssel/Wert-Paare aus Syslog-Nachrichten von Cambium Networks-Switches und ‑Routern und ordnet sie einem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Dabei wird Grok verwendet, um die ursprüngliche Nachricht zu strukturieren, KV, um Schlüssel/Wert-Paare zu trennen, und bedingte Anweisungen, um extrahierte Felder bestimmten UDM-Attributen zuzuordnen und Ereignisse als „STATUS_UPDATE“ oder „GENERIC_EVENT“ zu kategorisieren.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
  • Privilegierter Zugriff auf Geräte von Cambium Networks

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Services verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog auf ePMP 1000/2000/Force 180/200 und ePMP Elevate konfigurieren

  1. Melden Sie sich in der Cambium Networks-GUI an.
  2. Gehen Sie zu Konfigurieren> System > Syslog-Protokollierung.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Mask (Syslog-Maske): Klicken Sie auf Select All (Alle auswählen).
    • Server 1: Geben Sie die IP-Adresse des Bindplane-Agents ein.
  4. Klicken Sie auf Speichern.

Syslog auf ePMP 1000 HS und cnPilot E400/E500/E501 konfigurieren

  1. Melden Sie sich in der Cambium Networks-GUI an.
  2. Gehen Sie zu Konfigurieren > System > Ereignisprotokollierung.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Server 1: Geben Sie die IP-Adresse des BindPlane-Agents ein.
  4. Klicken Sie auf Speichern.

  5. Melden Sie sich über SSH in der Befehlszeile des Geräts an und geben Sie den folgenden Befehl ein, um die Debugging-Ebene zu aktivieren:

    logging  cnmaestro  7

  6. Speichern und Übernehmen Sie die Einstellungen.

  7. Geben Sie den folgenden Befehl ein, um die Geräte-Agent-Logs über die CLI zu prüfen:

    service show debug-logs device-agent

Syslog auf cnPilot R200/R201/R190 konfigurieren

  1. Melden Sie sich in der Cambium Networks-GUI an.
  2. Gehen Sie zu Administration> Management> System Log Settings.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Enable (Syslog aktivieren): Wählen Sie Enable (Aktivieren) aus.
    • Syslog-Ebene: Wählen Sie INFO aus.
    • Remote Syslog Enable (Remote-Syslog aktivieren): Wählen Sie Enable (Aktivieren) aus.
    • Remote-Syslog-Server: Geben Sie die IP-Adresse des Bindplane-Agents ein.
  4. Klicken Sie auf Speichern.

Syslog auf PMP 450/450i/450m-APs konfigurieren

  1. Melden Sie sich in der Cambium Networks-GUI an.
  2. Rufen Sie Konfiguration > cnMaestro auf.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • cnMaestro Agent Debug Log Level (cnMaestro-Agent-Debug-Logebene): Wählen Sie INFO aus.
  4. Rufen Sie Konfiguration > Syslog auf.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog DNS Server Usage (Syslog-DNS-Servernutzung): Wählen Sie Disable DNS Domain Name (DNS-Domainnamen deaktivieren) aus.
    • Syslog-Server: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Syslog Server Port (Syslog-Serverport): Geben Sie die Portnummer des Bindplane-Agents ein.
    • AP Syslog Transmit (AP-Syslog-Übertragung): Wählen Sie Enabled (Aktiviert) aus.
    • SM Syslog Transmit (SM-Syslog-Übertragung): Wählen Sie Enabled (Aktiviert) aus.
    • Syslog Minimum Level (Syslog-Mindeststufe): Wählen Sie info aus.
  6. Klicken Sie auf Speichern.

Syslog auf PMP 450/450i/450m SM konfigurieren

  1. Melden Sie sich in der Cambium Networks-GUI an.
  2. Rufen Sie Konfiguration > cnMaestro auf.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • cnMaestro Agent Debug Log Level (cnMaestro-Agent-Debug-Logebene): Wählen Sie INFO aus.
  4. Rufen Sie Konfiguration > Syslog auf.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Syslog Configuration Source (Quelle für die Syslog-Konfiguration): Wählen Sie AP Preferred (AP bevorzugt) aus.
    • Syslog DNS Server Usage (Syslog-DNS-Servernutzung): Wählen Sie Disable DNS Domain Name (DNS-Domainnamen deaktivieren) aus.
    • Syslog-Server: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Syslog Server Port (Syslog-Serverport): Geben Sie die Portnummer des Bindplane-Agents ein.
    • Syslog Transmission (Syslog-Übertragung): Wählen Sie Obtain from AP (Vom AP abrufen) aus.
    • Syslog Minimum Level Source (Quelle für Mindeststufe für Syslog): Wählen Sie AP Preferred (AP bevorzugt) aus.
    • Syslog Minimum Level (Syslog-Mindeststufe): Wählen Sie info aus.
  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
bssid read_only_udm.principal.mac Aus kv_fields extrahiert mit dem Schlüssel bssid.
channel read_only_udm.security_result.about.resource.attribute.labels.value Aus kv_fields extrahiert mit dem Schlüssel channel. Teil eines Labels.
host_name read_only_udm.principal.hostname Aus der Log-Nachricht mit dem Grok-Muster extrahiert.
ids_event read_only_udm.security_result.summary Aus kv_fields extrahiert mit dem Schlüssel ids_event.
ids_status read_only_udm.security_result.description Aus kv_fields extrahiert mit dem Schlüssel ids_status. Wird als Beschreibung verwendet, sofern vorhanden.
IAP read_only_udm.security_result.about.resource.attribute.labels.value Aus kv_fields extrahiert mit dem Schlüssel iap. Teil eines Labels.
Hersteller read_only_udm.security_result.about.resource.attribute.labels.value Aus kv_fields extrahiert mit dem Schlüssel manufacturer. Teil eines Labels.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Aus kv_fields extrahiert mit dem Schlüssel rssi. Teil eines Labels.
Sicherheit read_only_udm.security_result.about.resource.attribute.labels.value Aus kv_fields extrahiert mit dem Schlüssel security. Teil eines Labels.
die Ausprägung read_only_udm.security_result.severity Wird aus der Log-Nachricht mithilfe des Grok-Musters zugeordnet. alert wird HIGH zugeordnet, warn wird MEDIUM zugeordnet und alles andere wird LOW zugeordnet.
die Ausprägung read_only_udm.security_result.severity_details Wird aus der Log-Nachricht mithilfe des Grok-Musters zugeordnet. Behält den ursprünglichen Schweregradwert bei.
ssid read_only_udm.principal.application Aus kv_fields extrahiert mit dem Schlüssel ssid.
timestamp read_only_udm.metadata.event_timestamp Aus der Log-Nachricht mit dem Grok-Muster extrahiert und in einen Zeitstempel konvertiert.
read_only_udm.metadata.event_type Wird anhand der Werte in den Feldern security_result und host_name bestimmt. Wenn beide Felder vorhanden sind, wird der Ereignistyp auf STATUS_UPDATE festgelegt, andernfalls auf GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key Der Wert dieses Felds wird von der Parserlogik basierend auf dem zu verarbeitenden Schlüssel/Wert-Paar bestimmt. Mögliche Werte sind Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator und encryption_standard.
read_only_udm.security_result.description Wenn der Schweregrad warn ist, hat dieses Feld den Wert kv_fields, andernfalls den Wert ids_status.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten