Mengumpulkan log Cambium Networks

Didukung di:

Dokumen ini menjelaskan cara menyerap log Cambium Networks ke Google Security Operations menggunakan Bindplane. Parser mengekstrak pasangan nilai kunci dari pesan syslog switch dan router Cambium Networks, lalu memetakannya ke Model Data Terpadu (UDM). Proses ini menggunakan Grok untuk menyusun pesan awal, KV untuk memisahkan pasangan nilai kunci, dan pernyataan bersyarat untuk memetakan kolom yang diekstrak ke atribut UDM tertentu, mengategorikan peristiwa sebagai "STATUS_UPDATE" atau "GENERIC_EVENT".

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika dijalankan di belakang proxy, port firewall terbuka
  • Akses istimewa ke perangkat Cambium Networks

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:
    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog di ePMP 1000/2000/Force 180/200 dan ePMP Elevate

  1. Login ke GUI Cambium Networks.
  2. Buka Configure > System > Syslog Logging.
  3. Berikan detail konfigurasi berikut:
    • Masker Syslog: Klik Pilih Semua.
    • Server 1: Masukkan alamat IP agen Bindplane.
  4. Klik Simpan.

Mengonfigurasi Syslog di ePMP 1000 HS dan cnPilot E400/E500/E501

  1. Login ke GUI Cambium Networks.
  2. Buka Konfigurasi > Sistem > Pencatatan Peristiwa.
  3. Berikan detail konfigurasi berikut:
    • Server Syslog 1: Masukkan alamat IP agen Bindplane.
  4. Klik Simpan.

  5. Login ke CLI perangkat menggunakan SSH dan masukkan perintah berikut untuk mengaktifkan tingkat debug:

    logging  cnmaestro  7

  6. Simpan dan Terapkan setelan.

  7. Masukkan perintah berikut untuk memverifikasi log agen perangkat dari CLI:

    service show debug-logs device-agent

Mengonfigurasi Syslog di cnPilot R200/R201/R190

  1. Login ke GUI Cambium Networks.
  2. Buka Administrasi > Pengelolaan > Setelan Log Sistem.
  3. Berikan detail konfigurasi berikut:
    • Syslog Enable: Pilih Enable.
    • Level Syslog: Pilih INFO.
    • Remote Syslog Enable: Pilih Enable.
    • Server Syslog Jarak Jauh: Masukkan alamat IP agen Bindplane.
  4. Klik Simpan.

Mengonfigurasi Syslog di AP PMP 450/450i/450m

  1. Login ke GUI Cambium Networks.
  2. Buka Configuration > cnMaestro.
  3. Berikan detail konfigurasi berikut:
    • cnMaestro Agent Debug Log Level: Pilih INFO.
  4. Buka Konfigurasi > Syslog.
  5. Berikan detail konfigurasi berikut:
    • Penggunaan Server DNS Syslog: Pilih Nonaktifkan Nama Domain DNS.
    • Server Syslog: Masukkan alamat IP agen Bindplane.
    • Syslog Server Port: Masukkan nomor port agen Bindplane.
    • AP Syslog Transmit: Pilih Enabled.
    • SM Syslog Transmit: Pilih Enabled.
    • Tingkat Minimum Syslog: Pilih info.
  6. Klik Simpan.

Mengonfigurasi Syslog di SM PMP 450/450i/450m

  1. Login ke GUI Cambium Networks.
  2. Buka Configuration > cnMaestro.
  3. Berikan detail konfigurasi berikut:
    • cnMaestro Agent Debug Log Level: Pilih INFO.
  4. Buka Konfigurasi > Syslog.
  5. Berikan detail konfigurasi berikut:
    • Sumber Konfigurasi Syslog: Pilih AP Preferred.
    • Penggunaan Server DNS Syslog: Pilih Nonaktifkan Nama Domain DNS.
    • Server Syslog: Masukkan alamat IP agen Bindplane.
    • Syslog Server Port: Masukkan nomor port agen Bindplane.
    • Transmisi Syslog: Pilih Dapatkan dari AP.
    • Sumber Tingkat Minimum Syslog: Pilih AP Preferred.
    • Tingkat Minimum Syslog: Pilih info.
  6. Klik Simpan.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
bssid read_only_udm.principal.mac Diekstrak dari kv_fields menggunakan kunci bssid.
channel read_only_udm.security_result.about.resource.attribute.labels.value Diekstrak dari kv_fields menggunakan kunci channel. Bagian dari label.
host_name read_only_udm.principal.hostname Diekstrak dari pesan log menggunakan pola grok.
ids_event read_only_udm.security_result.summary Diekstrak dari kv_fields menggunakan kunci ids_event.
ids_status read_only_udm.security_result.description Diekstrak dari kv_fields menggunakan kunci ids_status. Digunakan sebagai deskripsi jika ada.
iap read_only_udm.security_result.about.resource.attribute.labels.value Diekstrak dari kv_fields menggunakan kunci iap. Bagian dari label.
produsen read_only_udm.security_result.about.resource.attribute.labels.value Diekstrak dari kv_fields menggunakan kunci manufacturer. Bagian dari label.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Diekstrak dari kv_fields menggunakan kunci rssi. Bagian dari label.
keamanan read_only_udm.security_result.about.resource.attribute.labels.value Diekstrak dari kv_fields menggunakan kunci security. Bagian dari label.
tingkat keseriusan, read_only_udm.security_result.severity Dipetakan dari pesan log menggunakan pola grok. alert dipetakan ke HIGH, warn dipetakan ke MEDIUM, dan yang lainnya dipetakan ke LOW.
tingkat keseriusan, read_only_udm.security_result.severity_details Dipetakan dari pesan log menggunakan pola grok. Mempertahankan nilai tingkat keparahan asli.
ssid read_only_udm.principal.application Diekstrak dari kv_fields menggunakan kunci ssid.
timestamp read_only_udm.metadata.event_timestamp Diekstrak dari pesan log menggunakan pola grok dan dikonversi menjadi stempel waktu.
read_only_udm.metadata.event_type Ditentukan berdasarkan keberadaan nilai di kolom security_result dan host_name. Jika kedua kolom ada, jenis peristiwa ditetapkan ke STATUS_UPDATE, jika tidak, jenis peristiwa ditetapkan ke GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key Nilai kolom ini ditentukan oleh logika parser berdasarkan pasangan nilai kunci tertentu yang sedang diproses. Nilai yang mungkin adalah: Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator, dan encryption_standard.
read_only_udm.security_result.description Jika tingkat keparahannya adalah warn, kolom ini akan mengambil nilai kv_fields, jika tidak, kolom ini akan mengambil nilai ids_status.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.