Raccogliere i log di Cambium Networks

Supportato in:

Questo documento spiega come importare i log di Cambium Networks in Google Security Operations utilizzando Bindplane. Il parser estrae le coppie chiave-valore dai messaggi syslog di switch e router Cambium Networks, mappandoli a un Unified Data Model (UDM). Utilizza Grok per strutturare il messaggio iniziale, KV per separare le coppie chiave-valore e istruzioni condizionali per mappare i campi estratti ad attributi UDM specifici, classificando gli eventi come "STATUS_UPDATE" o "GENERIC_EVENT".

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso con privilegi ai dispositivi Cambium Networks

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog su ePMP 1000/2000/Force 180/200 ed ePMP Elevate

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configura > Sistema > Registrazione Syslog.
  3. Fornisci i seguenti dettagli di configurazione:
    • Syslog Mask (Maschera Syslog): fai clic su Seleziona tutto.
    • Server 1: inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

Configurare Syslog su ePMP 1000 HS e cnPilot E400/E500/E501

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configura > Sistema > Registrazione eventi.
  3. Fornisci i seguenti dettagli di configurazione:
    • Server Syslog 1: inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

  5. Accedi alla CLI del dispositivo utilizzando SSH e inserisci il seguente comando per attivare il livello di debug:

    logging  cnmaestro  7

  6. Salva e Applica le impostazioni.

  7. Inserisci il seguente comando per verificare i log dell'agente del dispositivo dalla CLI:

    service show debug-logs device-agent

Configurare Syslog su cnPilot R200/R201/R190

  1. Accedi alla GUI di Cambium Networks.
  2. Vai ad Amministrazione > Gestione > Impostazioni log di sistema.
  3. Fornisci i seguenti dettagli di configurazione:
    • Syslog Enable (Attiva Syslog): seleziona Enable (Attiva).
    • Livello Syslog: seleziona INFO.
    • Remote Syslog Enable (Attiva syslog remoto): seleziona Enable (Attiva).
    • Server syslog remoto: inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

Configura Syslog sul punto di accesso PMP 450/450i/450m

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configurazione > cnMaestro.
  3. Fornisci i seguenti dettagli di configurazione:
    • cnMaestro Agent Debug Log Level: seleziona INFO.
  4. Vai a Configurazione > Syslog.
  5. Fornisci i seguenti dettagli di configurazione:
    • Utilizzo del server DNS Syslog: seleziona Disattiva nome di dominio DNS.
    • Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta server Syslog: inserisci il numero di porta dell'agente Bindplane.
    • AP Syslog Transmit (Trasmissione syslog AP): seleziona Enabled (Attivato).
    • SM Syslog Transmit (Trasmissione syslog SM): seleziona Enabled (Attivato).
    • Syslog Minimum Level (Livello minimo di syslog): seleziona info.
  6. Fai clic su Salva.

Configurare Syslog su PMP 450/450i/450m SM

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configurazione > cnMaestro.
  3. Fornisci i seguenti dettagli di configurazione:
    • cnMaestro Agent Debug Log Level: seleziona INFO.
  4. Vai a Configurazione > Syslog.
  5. Fornisci i seguenti dettagli di configurazione:
    • Syslog Configuration Source (Origine configurazione Syslog): seleziona AP Preferred (AP preferito).
    • Utilizzo del server DNS Syslog: seleziona Disattiva nome di dominio DNS.
    • Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta server Syslog: inserisci il numero di porta dell'agente Bindplane.
    • Syslog Transmission (Trasmissione syslog): seleziona Obtain from AP (Ottieni da AP).
    • Syslog Minimum Level Source (Origine livello minimo syslog): seleziona AP Preferred (AP preferito).
    • Syslog Minimum Level (Livello minimo di syslog): seleziona info.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
bssid read_only_udm.principal.mac Estratto da kv_fields utilizzando la chiave bssid.
canale read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave channel. Parte di un'etichetta.
host_name read_only_udm.principal.hostname Estratto dal messaggio di log utilizzando il pattern grok.
ids_event read_only_udm.security_result.summary Estratto da kv_fields utilizzando la chiave ids_event.
ids_status read_only_udm.security_result.description Estratto da kv_fields utilizzando la chiave ids_status. Utilizzata come descrizione, se presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave iap. Parte di un'etichetta.
manufacturer read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave manufacturer. Parte di un'etichetta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave rssi. Parte di un'etichetta.
sicurezza read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave security. Parte di un'etichetta.
gravità read_only_udm.security_result.severity Mappato dal messaggio di log utilizzando il pattern grok. alert corrisponde a HIGH, warn corrisponde a MEDIUM e tutto il resto corrisponde a LOW.
gravità read_only_udm.security_result.severity_details Mappato dal messaggio di log utilizzando il pattern grok. Mantiene il valore di gravità originale.
ssid read_only_udm.principal.application Estratto da kv_fields utilizzando la chiave ssid.
timestamp read_only_udm.metadata.event_timestamp Estratto dal messaggio di log utilizzando il pattern grok e convertito in un timestamp.
read_only_udm.metadata.event_type Determinato in base alla presenza di valori nei campi security_result e host_name. Se sono presenti entrambi i campi, il tipo di evento è impostato su STATUS_UPDATE, altrimenti è GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key Il valore di questo campo è determinato dalla logica del parser in base alla specifica coppia chiave-valore in fase di elaborazione. I valori possibili sono: Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator e encryption_standard.
read_only_udm.security_result.description Se la gravità è warn, questo campo assume il valore kv_fields, altrimenti assume il valore ids_status.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.