Recoger registros de Cambium Networks

Disponible en:

En este documento se explica cómo ingerir registros de Cambium Networks en Google Security Operations mediante Bindplane. El analizador extrae pares clave-valor de los mensajes syslog de los conmutadores y routers de Cambium Networks y los asigna a un modelo de datos unificado (UDM). Usa Grok para estructurar el mensaje inicial, KV para separar los pares clave-valor y las instrucciones condicionales para asignar los campos extraídos a atributos de UDM específicos, clasificando los eventos como "STATUS_UPDATE" o "GENERIC_EVENT".

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
  • Acceso privilegiado a dispositivos de Cambium Networks

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en ePMP 1000/2000/Force 180/200 y ePMP Elevate

  1. Inicia sesión en la interfaz gráfica de usuario de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de syslog.
  3. Proporcione los siguientes detalles de configuración:
    • Máscara de syslog: haz clic en Seleccionar todo.
    • Servidor 1: introduce la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Configurar Syslog en ePMP 1000 HS y cnPilot E400/E500/E501

  1. Inicia sesión en la interfaz gráfica de usuario de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de eventos.
  3. Proporcione los siguientes detalles de configuración:
    • Servidor Syslog 1: introduce la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

  5. Inicia sesión en la CLI del dispositivo mediante SSH e introduce el siguiente comando para habilitar el nivel de depuración:

    logging  cnmaestro  7

  6. Guarda y aplica la configuración.

  7. Introduce el siguiente comando para verificar los registros del agente del dispositivo desde la CLI:

    service show debug-logs device-agent

Configurar Syslog en cnPilot R200/R201/R190

  1. Inicia sesión en la interfaz gráfica de usuario de Cambium Networks.
  2. Ve a Administración > Gestión > Configuración del registro del sistema.
  3. Proporcione los siguientes detalles de configuración:
    • Habilitar Syslog: selecciona Habilitar.
    • Nivel de syslog: selecciona INFO.
    • Habilitar Syslog remoto: selecciona Habilitar.
    • Servidor Syslog remoto: introduce la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Configurar Syslog en un punto de acceso PMP 450/450i/450m

  1. Inicia sesión en la interfaz gráfica de usuario de Cambium Networks.
  2. Vaya a Configuración > cnMaestro.
  3. Proporcione los siguientes detalles de configuración:
    • Nivel de registro de depuración del agente de cnMaestro: selecciona INFO.
  4. Vaya a Configuración > Syslog.
  5. Proporcione los siguientes detalles de configuración:
    • Uso del servidor DNS de Syslog: selecciona Inhabilitar nombre de dominio DNS.
    • Servidor Syslog: introduce la dirección IP del agente de Bindplane.
    • Puerto del servidor Syslog: introduce el número de puerto del agente de Bindplane.
    • AP Syslog Transmit: selecciona Enabled (Habilitado).
    • SM Syslog Transmit (Transmisión de Syslog de SM): selecciona Enabled (Habilitado).
    • Nivel mínimo de syslog: selecciona info.
  6. Haz clic en Guardar.

Configurar Syslog en un SM PMP 450/450i/450m

  1. Inicia sesión en la interfaz gráfica de usuario de Cambium Networks.
  2. Vaya a Configuración > cnMaestro.
  3. Proporcione los siguientes detalles de configuración:
    • Nivel de registro de depuración del agente de cnMaestro: selecciona INFO.
  4. Vaya a Configuración > Syslog.
  5. Proporcione los siguientes detalles de configuración:
    • Fuente de configuración de Syslog: selecciona Preferido por la API.
    • Uso del servidor DNS de Syslog: selecciona Inhabilitar nombre de dominio DNS.
    • Servidor Syslog: introduce la dirección IP del agente de Bindplane.
    • Puerto del servidor Syslog: introduce el número de puerto del agente de Bindplane.
    • Transmisión de syslog: selecciona Obtener del punto de acceso.
    • Fuente del nivel mínimo de Syslog: selecciona Preferido por AP.
    • Nivel mínimo de syslog: selecciona info.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
bssid read_only_udm.principal.mac Extraído de kv_fields con la clave bssid.
canal read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields con la clave channel. Parte de una etiqueta.
host_name read_only_udm.principal.hostname Se extrae del mensaje de registro mediante el patrón grok.
ids_event read_only_udm.security_result.summary Extraído de kv_fields con la clave ids_event.
ids_status read_only_udm.security_result.description Extraído de kv_fields con la clave ids_status. Se usa como descripción cuando está presente.
IAP read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields con la clave iap. Parte de una etiqueta.
Fabricante read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields con la clave manufacturer. Parte de una etiqueta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields con la clave rssi. Parte de una etiqueta.
seguridad read_only_udm.security_result.about.resource.attribute.labels.value Extraído de kv_fields con la clave security. Parte de una etiqueta.
gravedad read_only_udm.security_result.severity Se asigna desde el mensaje de registro mediante el patrón grok. alert se asigna a HIGH, warn se asigna a MEDIUM y el resto se asigna a LOW.
gravedad read_only_udm.security_result.severity_details Se asigna desde el mensaje de registro mediante el patrón grok. Conserva el valor de gravedad original.
ssid read_only_udm.principal.application Extraído de kv_fields con la clave ssid.
timestamp read_only_udm.metadata.event_timestamp Se extrae del mensaje de registro mediante el patrón grok y se convierte en una marca de tiempo.
read_only_udm.metadata.event_type Se determina en función de si hay valores en los campos security_result y host_name. Si ambos campos están presentes, el tipo de evento se define como STATUS_UPDATE. De lo contrario, se define como GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key El valor de este campo se determina mediante la lógica del analizador en función del par clave-valor específico que se esté procesando. Los valores posibles son Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator y encryption_standard.
read_only_udm.security_result.description Si la gravedad es warn, este campo toma el valor kv_fields; de lo contrario, toma el valor ids_status.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.