Cambium Networks 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Cambium Networks 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 Cambium Networks 스위치 및 라우터 syslog 메시지에서 키-값 쌍을 추출하여 통합 데이터 모델 (UDM)에 매핑합니다. Grok을 사용하여 초기 메시지를 구조화하고, KV를 사용하여 키-값 쌍을 분리하고, 조건문을 사용하여 추출된 필드를 특정 UDM 속성에 매핑하여 이벤트를 'STATUS_UPDATE' 또는 'GENERIC_EVENT'로 분류합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있음
  • Cambium Networks 기기에 대한 액세스 권한

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.
    • config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    • 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

ePMP 1000/2000/Force 180/200 및 ePMP Elevate에서 Syslog 구성

  1. Cambium Networks GUI에 로그인합니다.
  2. 구성 > 시스템 > Syslog 로깅으로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • Syslog Mask(Syslog 마스크): Select All(모두 선택)을 클릭합니다.
    • 서버 1: Bindplane 에이전트 IP 주소를 입력합니다.
  4. 저장을 클릭합니다.

ePMP 1000 HS 및 cnPilot E400/E500/E501에서 Syslog 구성

  1. Cambium Networks GUI에 로그인합니다.
  2. 구성 > 시스템 > 이벤트 로깅으로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • Syslog Server 1: Bindplane 에이전트 IP 주소를 입력합니다.
  4. 저장을 클릭합니다.

  5. SSH를 사용하여 기기 CLI에 로그인하고 디버그 수준을 사용 설정하는 다음 명령어를 입력합니다.

    logging  cnmaestro  7

  6. 설정을 저장하고 적용합니다.

  7. 다음 명령어를 입력하여 CLI에서 기기 에이전트 로그를 확인합니다.

    service show debug-logs device-agent

cnPilot R200/R201/R190에서 Syslog 구성

  1. Cambium Networks GUI에 로그인합니다.
  2. 관리 > 관리 > 시스템 로그 설정으로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • Syslog Enable: Enable을 선택합니다.
    • Syslog Level(Syslog 수준): INFO를 선택합니다.
    • 원격 Syslog 사용 설정: 사용 설정을 선택합니다.
    • 원격 Syslog 서버: Bindplane 에이전트 IP 주소를 입력합니다.
  4. 저장을 클릭합니다.

PMP 450/450i/450m AP에서 Syslog 구성

  1. Cambium Networks GUI에 로그인합니다.
  2. 구성 > cnMaestro로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • cnMaestro 에이전트 디버그 로그 수준: INFO를 선택합니다.
  4. 구성 > Syslog로 이동합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • Syslog DNS Server Usage: Disable DNS Domain Name을 선택합니다.
    • Syslog Server: Bindplane 에이전트 IP 주소를 입력합니다.
    • Syslog Server Port(Syslog 서버 포트): Bindplane 에이전트 포트 번호를 입력합니다.
    • AP Syslog Transmit: Enabled를 선택합니다.
    • SM Syslog Transmit: Enabled를 선택합니다.
    • Syslog Minimum Level(Syslog 최소 수준): info를 선택합니다.
  6. 저장을 클릭합니다.

PMP 450/450i/450m SM에서 Syslog 구성

  1. Cambium Networks GUI에 로그인합니다.
  2. 구성 > cnMaestro로 이동합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • cnMaestro 에이전트 디버그 로그 수준: INFO를 선택합니다.
  4. 구성 > Syslog로 이동합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • Syslog Configuration Source: AP Preferred를 선택합니다.
    • Syslog DNS Server Usage: Disable DNS Domain Name을 선택합니다.
    • Syslog Server: Bindplane 에이전트 IP 주소를 입력합니다.
    • Syslog Server Port(Syslog 서버 포트): Bindplane 에이전트 포트 번호를 입력합니다.
    • Syslog Transmission(Syslog 전송): Obtain from AP(AP에서 가져오기)를 선택합니다.
    • Syslog Minimum Level Source(Syslog 최소 수준 소스): AP Preferred(AP 기본)를 선택합니다.
    • Syslog Minimum Level(Syslog 최소 수준): info를 선택합니다.
  6. 저장을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
bssid read_only_udm.principal.mac bssid 키를 사용하여 kv_fields에서 추출했습니다.
채널 read_only_udm.security_result.about.resource.attribute.labels.value channel 키를 사용하여 kv_fields에서 추출했습니다. 라벨의 일부입니다.
host_name read_only_udm.principal.hostname grok 패턴을 사용하여 로그 메시지에서 추출됩니다.
ids_event read_only_udm.security_result.summary ids_event 키를 사용하여 kv_fields에서 추출했습니다.
ids_status read_only_udm.security_result.description ids_status 키를 사용하여 kv_fields에서 추출했습니다. 있는 경우 설명으로 사용됩니다.
IAP read_only_udm.security_result.about.resource.attribute.labels.value iap 키를 사용하여 kv_fields에서 추출했습니다. 라벨의 일부입니다.
manufacturer read_only_udm.security_result.about.resource.attribute.labels.value manufacturer 키를 사용하여 kv_fields에서 추출했습니다. 라벨의 일부입니다.
rssi read_only_udm.security_result.about.resource.attribute.labels.value rssi 키를 사용하여 kv_fields에서 추출했습니다. 라벨의 일부입니다.
보안 read_only_udm.security_result.about.resource.attribute.labels.value security 키를 사용하여 kv_fields에서 추출했습니다. 라벨의 일부입니다.
줄이는 것을 read_only_udm.security_result.severity grok 패턴을 사용하여 로그 메시지에서 매핑됩니다. alertHIGH에 매핑되고, warnMEDIUM에 매핑되며, 그 외 모든 것은 LOW에 매핑됩니다.
줄이는 것을 read_only_udm.security_result.severity_details grok 패턴을 사용하여 로그 메시지에서 매핑됩니다. 원래 심각도 값을 유지합니다.
ssid read_only_udm.principal.application ssid 키를 사용하여 kv_fields에서 추출했습니다.
타임스탬프 read_only_udm.metadata.event_timestamp grok 패턴을 사용하여 로그 메시지에서 추출하고 타임스탬프로 변환했습니다.
read_only_udm.metadata.event_type security_resulthost_name 필드에 값이 있는지에 따라 결정됩니다. 두 필드가 모두 있으면 이벤트 유형이 STATUS_UPDATE로 설정되고, 그렇지 않으면 GENERIC_EVENT로 설정됩니다.
read_only_udm.security_result.about.resource.attribute.labels.key 이 필드의 값은 처리되는 특정 키-값 쌍을 기반으로 파서 논리에 의해 결정됩니다. 가능한 값은 Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator, encryption_standard입니다.
read_only_udm.security_result.description 심각도가 warn인 경우 이 필드는 kv_fields 값을 취하고, 그렇지 않으면 ids_status 값을 취합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.