Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Cambium Networks

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Cambium Networks dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les paires clé-valeur des messages syslog des routeurs et commutateurs Cambium Networks, et les mappe à un modèle de données unifié (UDM). Il utilise Grok pour structurer le message initial, KV pour séparer les paires clé/valeur et des instructions conditionnelles pour mapper les champs extraits à des attributs UDM spécifiques, en classant les événements comme "STATUS_UPDATE" ou "GENERIC_EVENT".

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié aux appareils Cambium Networks

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur ePMP 1000/2000/Force 180/200 et ePMP Elevate

Connectez-vous à l'interface utilisateur graphique Cambium Networks.
Accédez à Configurer > Système > Journalisation Syslog.
Fournissez les informations de configuration suivantes :
- Masque Syslog : cliquez sur Tout sélectionner.
- Serveur 1 : saisissez l'adresse IP de l'agent Bindplane.
Cliquez sur Enregistrer.

Configurer Syslog sur ePMP 1000 HS et cnPilot E400/E500/E501

Connectez-vous à l'interface utilisateur graphique Cambium Networks.
Accédez à Configurer> Système> Journalisation des événements.
Fournissez les informations de configuration suivantes :
- Serveur Syslog 1 : saisissez l'adresse IP de l'agent Bindplane.
Cliquez sur Enregistrer.
Connectez-vous à la CLI de l'appareil à l'aide de SSH et saisissez la commande suivante pour activer le niveau de débogage :
```
logging  cnmaestro  7
```
Enregistrez et appliquez les paramètres.
Saisissez la commande suivante pour vérifier les journaux de l'agent de l'appareil à partir de l'interface de ligne de commande :
```
service show debug-logs device-agent
```

Configurer Syslog sur cnPilot R200/R201/R190

Connectez-vous à l'interface utilisateur graphique Cambium Networks.
Accédez à Administration> Gestion> Paramètres du journal système.
Fournissez les informations de configuration suivantes :
- Activer Syslog : sélectionnez Activer.
- Niveau Syslog : sélectionnez INFO.
- Activer Syslog à distance : sélectionnez Activer.
- Serveur Syslog distant : saisissez l'adresse IP de l'agent Bindplane.
Cliquez sur Enregistrer.

Configurer Syslog sur un point d'accès PMP 450/450i/450m

Connectez-vous à l'interface utilisateur graphique Cambium Networks.
Accédez à Configuration > cnMaestro.
Fournissez les informations de configuration suivantes :
- Niveau du journal de débogage de l'agent cnMaestro : sélectionnez INFO.
Accédez à Configuration > Syslog.
Fournissez les informations de configuration suivantes :
- Utilisation du serveur DNS Syslog : sélectionnez Désactiver le nom de domaine DNS.
- Serveur Syslog : saisissez l'adresse IP de l'agent Bindplane.
- Port du serveur Syslog : saisissez le numéro de port de l'agent Bindplane.
- AP Syslog Transmit : sélectionnez Enabled.
- SM Syslog Transmit : sélectionnez Enabled (Activé).
- Niveau minimal de Syslog : sélectionnez info.
Cliquez sur Enregistrer.

Configurer Syslog sur un module d'abonné PMP 450/450i/450m

Connectez-vous à l'interface utilisateur graphique Cambium Networks.
Accédez à Configuration > cnMaestro.
Fournissez les informations de configuration suivantes :
- Niveau du journal de débogage de l'agent cnMaestro : sélectionnez INFO.
Accédez à Configuration > Syslog.
Fournissez les informations de configuration suivantes :
- Source de configuration Syslog : sélectionnez AP Preferred.
- Utilisation du serveur DNS Syslog : sélectionnez Désactiver le nom de domaine DNS.
- Serveur Syslog : saisissez l'adresse IP de l'agent Bindplane.
- Port du serveur Syslog : saisissez le numéro de port de l'agent Bindplane.
- Transmission Syslog : sélectionnez Obtenir à partir du point d'accès.
- Source du niveau minimal de Syslog : sélectionnez AP Preferred (AP recommandé).
- Niveau minimal de Syslog : sélectionnez info.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
bssid	read_only_udm.principal.mac	Extrait de `kv_fields` à l'aide de la clé `bssid`.
channel	read_only_udm.security_result.about.resource.attribute.labels.value	Extrait de `kv_fields` à l'aide de la clé `channel`. Partie d'un libellé.
host_name	read_only_udm.principal.hostname	Extrait du message de journal à l'aide du modèle grok.
ids_event	read_only_udm.security_result.summary	Extrait de `kv_fields` à l'aide de la clé `ids_event`.
ids_status	read_only_udm.security_result.description	Extrait de `kv_fields` à l'aide de la clé `ids_status`. Utilisé comme description, le cas échéant.
iap	read_only_udm.security_result.about.resource.attribute.labels.value	Extrait de `kv_fields` à l'aide de la clé `iap`. Partie d'un libellé.
fabricant	read_only_udm.security_result.about.resource.attribute.labels.value	Extrait de `kv_fields` à l'aide de la clé `manufacturer`. Partie d'un libellé.
rssi	read_only_udm.security_result.about.resource.attribute.labels.value	Extrait de `kv_fields` à l'aide de la clé `rssi`. Partie d'un libellé.
sécurité	read_only_udm.security_result.about.resource.attribute.labels.value	Extrait de `kv_fields` à l'aide de la clé `security`. Partie d'un libellé.
de gravité,	read_only_udm.security_result.severity	Mappé à partir du message de journal à l'aide du modèle grok. `alert` correspond à `HIGH`, `warn` correspond à `MEDIUM` et tout le reste correspond à `LOW`.
de gravité,	read_only_udm.security_result.severity_details	Mappé à partir du message de journal à l'aide du modèle grok. Conserve la valeur de gravité d'origine.
ssid	read_only_udm.principal.application	Extrait de `kv_fields` à l'aide de la clé `ssid`.
timestamp	read_only_udm.metadata.event_timestamp	Extrait du message de journal à l'aide du modèle Grok et converti en code temporel.
	read_only_udm.metadata.event_type	Déterminé en fonction de la présence de valeurs dans les champs `security_result` et `host_name`. Si les deux champs sont présents, le type d'événement est défini sur `STATUS_UPDATE`. Sinon, il est défini sur `GENERIC_EVENT`.
	read_only_udm.security_result.about.resource.attribute.labels.key	La valeur de ce champ est déterminée par la logique de l'analyseur en fonction de la paire clé-valeur spécifique traitée. Les valeurs possibles sont `Internet_Access_Provider`, `manufacturer`, `channel`, `received_signal_strength_indicator` et `encryption_standard`.
	read_only_udm.security_result.description	Si le niveau de gravité est `warn`, ce champ prend la valeur `kv_fields`. Sinon, il prend la valeur `ids_status`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.