Recopila registros de Cambium Networks

Compatible con:

En este documento, se explica cómo transferir registros de Cambium Networks a Google Security Operations con Bindplane. El analizador extrae pares clave-valor de los mensajes de syslog del conmutador y el router de Cambium Networks, y los asigna a un modelo de datos unificado (UDM). Utiliza Grok para estructurar el mensaje inicial, KV para separar los pares clave-valor y las sentencias condicionales para asignar los campos extraídos a atributos específicos del UDM, y categoriza los eventos como "STATUS_UPDATE" o "GENERIC_EVENT".

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a dispositivos de Cambium Networks

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en ePMP 1000/2000/Force 180/200 y ePMP Elevate

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de Syslog.
  3. Proporciona los siguientes detalles de configuración:
    • Syslog Mask: Haz clic en Select All.
    • Servidor 1: Ingresa la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Configura Syslog en ePMP 1000 HS y cnPilot E400/E500/E501

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de eventos.
  3. Proporciona los siguientes detalles de configuración:
    • Servidor de Syslog 1: Ingresa la dirección IP del agente de BindPlane.
  4. Haz clic en Guardar.

  5. Accede a la CLI del dispositivo con SSH y, luego, ingresa el siguiente comando para habilitar el nivel de depuración:

    logging  cnmaestro  7

  6. Guarda y aplica la configuración.

  7. Ingresa el siguiente comando para verificar los registros del agente del dispositivo desde la CLI:

    service show debug-logs device-agent

Cómo configurar Syslog en cnPilot R200/R201/R190

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Administración > Administración > Configuración del registro del sistema.
  3. Proporciona los siguientes detalles de configuración:
    • Syslog Enable: Selecciona Enable.
    • Nivel de Syslog: Selecciona INFO.
    • Remote Syslog Enable: Selecciona Enable.
    • Servidor Syslog remoto: Ingresa la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Configura Syslog en el AP PMP 450/450i/450m

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configuration > cnMaestro.
  3. Proporciona los siguientes detalles de configuración:
    • cnMaestro Agent Debug Log Level: Selecciona INFO.
  4. Ve a Configuration > Syslog.
  5. Proporciona los siguientes detalles de configuración:
    • Syslog DNS Server Usage: Selecciona Disable DNS Domain Name.
    • Servidor Syslog: Ingresa la dirección IP del agente de BindPlane.
    • Puerto del servidor Syslog: Ingresa el número de puerto del agente de Bindplane.
    • AP Syslog Transmit: Selecciona Enabled.
    • SM Syslog Transmit: Selecciona Enabled.
    • Syslog Minimum Level: Selecciona info.
  6. Haz clic en Guardar.

Configura Syslog en el SM PMP 450/450i/450m

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configuration > cnMaestro.
  3. Proporciona los siguientes detalles de configuración:
    • cnMaestro Agent Debug Log Level: Selecciona INFO.
  4. Ve a Configuration > Syslog.
  5. Proporciona los siguientes detalles de configuración:
    • Syslog Configuration Source: Selecciona AP Preferred.
    • Syslog DNS Server Usage: Selecciona Disable DNS Domain Name.
    • Servidor Syslog: Ingresa la dirección IP del agente de BindPlane.
    • Puerto del servidor Syslog: Ingresa el número de puerto del agente de Bindplane.
    • Transmisión de Syslog: Selecciona Obtener del AP.
    • Syslog Minimum Level Source: Selecciona AP Preferred.
    • Syslog Minimum Level: Selecciona info.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
bssid read_only_udm.principal.mac Se extrae de kv_fields con la clave bssid.
canal read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave channel. Es parte de una etiqueta.
host_name read_only_udm.principal.hostname Se extrae del mensaje de registro con el patrón de Grok.
ids_event read_only_udm.security_result.summary Se extrae de kv_fields con la clave ids_event.
ids_status read_only_udm.security_result.description Se extrae de kv_fields con la clave ids_status. Se usa como la descripción cuando está presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave iap. Es parte de una etiqueta.
fabricante read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave manufacturer. Es parte de una etiqueta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave rssi. Es parte de una etiqueta.
seguridad read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave security. Es parte de una etiqueta.
gravedad, read_only_udm.security_result.severity Se asigna desde el mensaje de registro con el patrón de Grok. alert se asigna a HIGH, warn se asigna a MEDIUM y todo lo demás se asigna a LOW.
gravedad, read_only_udm.security_result.severity_details Se asigna desde el mensaje de registro con el patrón de Grok. Conserva el valor de gravedad original.
ssid read_only_udm.principal.application Se extrae de kv_fields con la clave ssid.
timestamp read_only_udm.metadata.event_timestamp Se extrae del mensaje de registro con el patrón de Grok y se convierte en una marca de tiempo.
read_only_udm.metadata.event_type Se determina según la presencia de valores en los campos security_result y host_name. Si ambos campos están presentes, el tipo de evento se establece en STATUS_UPDATE; de lo contrario, se establece en GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key El valor de este campo se determina según la lógica del analizador en función del par clave-valor específico que se procesa. Los valores posibles son Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator y encryption_standard.
read_only_udm.security_result.description Si la gravedad es warn, este campo toma el valor de kv_fields; de lo contrario, toma el valor de ids_status.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.