Cambium Networks のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Cambium Networks ログを Google Security Operations に取り込む方法について説明します。パーサーは、Cambium Networks スイッチとルーターの syslog メッセージから Key-Value ペアを抽出し、統合データモデル(UDM)にマッピングします。Grok を使用して初期メッセージを構造化し、KV を使用して Key-Value ペアを分離し、条件ステートメントを使用して抽出されたフィールドを特定の UDM 属性にマッピングし、イベントを「STATUS_UPDATE」または「GENERIC_EVENT」のいずれかに分類します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
  • Cambium Networks デバイスへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際の顧客 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

ePMP 1000/2000/Force 180/200 および ePMP Elevate で Syslog を構成する

  1. Cambium Networks の GUI にログインします。
  2. [Configure] > [System] > [Syslog Logging] に移動します。
  3. 次の構成の詳細を指定します。
    • Syslog Mask: [Select All] をクリックします。
    • サーバー 1: Bindplane エージェントの IP アドレスを入力します。
  4. [保存] をクリックします。

ePMP 1000 HS と cnPilot E400/E500/E501 で Syslog を構成する

  1. Cambium Networks の GUI にログインします。
  2. [Configure> System> Event Logging] に移動します。
  3. 次の構成の詳細を指定します。
    • Syslog サーバー 1: Bindplane エージェントの IP アドレスを入力します。
  4. [保存] をクリックします。

  5. SSH を使用してデバイスの CLI にログインし、次のコマンドを入力してデバッグレベルを有効にします。

    logging  cnmaestro  7

  6. 設定を保存して適用します。

  7. 次のコマンドを入力して、CLI からデバイス エージェントのログを確認します。

    service show debug-logs device-agent

cnPilot R200/R201/R190 で Syslog を構成する

  1. Cambium Networks の GUI にログインします。
  2. [Administration] > [Management] > [System Log Settings] に移動します。
  3. 次の構成の詳細を指定します。
    • Syslog Enable: [Enable] を選択します。
    • Syslog Level: [INFO] を選択します。
    • Remote Syslog Enable: [Enable] を選択します。
    • リモート Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
  4. [保存] をクリックします。

PMP 450/450i/450m AP で Syslog を構成する

  1. Cambium Networks の GUI にログインします。
  2. [Configuration] > [cnMaestro] に移動します。
  3. 次の構成の詳細を指定します。
    • cnMaestro Agent Debug Log Level: [INFO] を選択します。
  4. [Configuration] > [Syslog] に移動します。
  5. 次の構成の詳細を指定します。
    • Syslog DNS Server Usage: [Disable DNS Domain Name] を選択します。
    • Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
    • Syslog サーバー ポート: Bindplane エージェントのポート番号を入力します。
    • AP Syslog Transmit: [Enabled] を選択します。
    • SM Syslog Transmit: [Enabled] を選択します。
    • Syslog の最小レベル: [情報] を選択します。
  6. [保存] をクリックします。

PMP 450/450i/450m SM で Syslog を構成する

  1. Cambium Networks の GUI にログインします。
  2. [Configuration] > [cnMaestro] に移動します。
  3. 次の構成の詳細を指定します。
    • cnMaestro Agent Debug Log Level: [INFO] を選択します。
  4. [Configuration] > [Syslog] に移動します。
  5. 次の構成の詳細を指定します。
    • Syslog Configuration Source: [AP Preferred] を選択します。
    • Syslog DNS Server Usage: [Disable DNS Domain Name] を選択します。
    • Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
    • Syslog サーバー ポート: Bindplane エージェントのポート番号を入力します。
    • Syslog Transmission: [Obtain from AP] を選択します。
    • Syslog Minimum Level Source: [AP Preferred] を選択します。
    • Syslog の最小レベル: [情報] を選択します。
  6. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
bssid read_only_udm.principal.mac キー bssid を使用して kv_fields から抽出されます。
channel read_only_udm.security_result.about.resource.attribute.labels.value キー channel を使用して kv_fields から抽出されます。ラベルの一部。
host_name read_only_udm.principal.hostname grok パターンを使用してログ メッセージから抽出されます。
ids_event read_only_udm.security_result.summary キー ids_event を使用して kv_fields から抽出されます。
ids_status read_only_udm.security_result.description キー ids_status を使用して kv_fields から抽出されます。存在する場合は説明として使用されます。
iap read_only_udm.security_result.about.resource.attribute.labels.value キー iap を使用して kv_fields から抽出されます。ラベルの一部。
manufacturer read_only_udm.security_result.about.resource.attribute.labels.value キー manufacturer を使用して kv_fields から抽出されます。ラベルの一部。
rssi read_only_udm.security_result.about.resource.attribute.labels.value キー rssi を使用して kv_fields から抽出されます。ラベルの一部。
セキュリティ read_only_udm.security_result.about.resource.attribute.labels.value キー security を使用して kv_fields から抽出されます。ラベルの一部。
重要度 read_only_udm.security_result.severity Grok パターンを使用してログ メッセージからマッピングされます。alertHIGH に、warnMEDIUM に、その他はすべて LOW にマッピングされます。
重要度 read_only_udm.security_result.severity_details Grok パターンを使用してログ メッセージからマッピングされます。元の重大度の値を保持します。
ssid read_only_udm.principal.application キー ssid を使用して kv_fields から抽出されます。
timestamp read_only_udm.metadata.event_timestamp Grok パターンを使用してログ メッセージから抽出され、タイムスタンプに変換されます。
read_only_udm.metadata.event_type security_result フィールドと host_name フィールドに値が存在するかどうかによって決まります。両方のフィールドが存在する場合は、イベントタイプが STATUS_UPDATE に設定され、それ以外の場合は GENERIC_EVENT に設定されます。
read_only_udm.security_result.about.resource.attribute.labels.key このフィールドの値は、処理される特定の Key-Value ペアに基づいて、パーサー ロジックによって決定されます。有効な値は、Internet_Access_Providermanufacturerchannelreceived_signal_strength_indicatorencryption_standard です。
read_only_udm.security_result.description 重大度が warn の場合、このフィールドは kv_fields の値を取得します。それ以外の場合は、ids_status の値を取得します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。