Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Extreme Wireless

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Nirkabel Extreme Networks ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari pesan syslog menggunakan pola grok berdasarkan kolom prod_event_type. Kemudian, kolom yang diekstrak ini dipetakan ke Model Data Terpadu (UDM), menangani berbagai format log, dan memperkaya data dengan metadata dan label untuk meningkatkan konteks.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika berjalan di belakang proxy, pastikan port firewall terbuka
Akses istimewa ke Extreme Networks CloudIQ

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'EXTREME_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Extreme Networks CloudIQ

Login ke UI web CloudIQ.
Buka Configure > Common Objects > Management > Syslog Servers.
Klik +.
Berikan detail konfigurasi berikut:
- Nama: Berikan nama unik untuk server.
- Tingkat keparahan: Pilih Info.
- Pilih alamat IP syslog yang ada dari menu Pilih, atau klik +.
- Masukkan alamat IP agen Bindplane.
- Masukkan nomor port agen Bindplane.
- Klik TAMBAHKAN.
Klik Simpan Server Syslog.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`action`	`security_result.detection_fields.key`	Nilai kolom `action` dari log mentah dipetakan ke `security_result.detection_fields.key`.
`action`	`security_result.detection_fields.value`	Nilai kolom `action` dari log mentah dipetakan ke `security_result.detection_fields.value`.
`BSSID`	`principal.resource.attribute.labels.key`	String "BSSID" ditetapkan ke `principal.resource.attribute.labels.key`.
`BSSID`	`principal.resource.attribute.labels.value`	Nilai kolom `BSSID` dari log mentah dipetakan ke `principal.resource.attribute.labels.value`.
`collection_time.nanos`	`metadata.event_timestamp.nanos`	Nilai `collection_time.nanos` dari log mentah dipetakan ke `metadata.event_timestamp.nanos`.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	Nilai `collection_time.seconds` dari log mentah dipetakan ke `metadata.event_timestamp.seconds`.
`collection_time.seconds`	`timestamp.seconds`	Nilai `collection_time.seconds` dari log mentah dipetakan ke `timestamp.seconds`.
`collection_time.nanos`	`timestamp.nanos`	Nilai `collection_time.nanos` dari log mentah dipetakan ke `timestamp.nanos`.
`data`	`security_result.description`	Nilai kolom `data` dari log mentah, setelah mengalami beberapa transformasi `gsub` untuk menghapus karakter yang tidak diinginkan dan nilai "N/A", dipetakan ke kolom `security_result.description`.
`description`	`security_result.description`	Nilai kolom `description`, yang diekstrak oleh parser grok, dipetakan ke kolom `security_result.description`.
`first`	`security_result.detection_fields.key`	String "first" ditetapkan ke `security_result.detection_fields.key`.
`first`	`security_result.detection_fields.value`	Nilai kolom `first` dari log mentah dipetakan ke `security_result.detection_fields.value`.
`hostname`	`principal.asset.hostname`	Nilai kolom `hostname` dari log mentah dipetakan ke kolom `principal.asset.hostname` dan `principal.hostname`.
`hostname`	`principal.hostname`	Nilai kolom `hostname` dari log mentah dipetakan ke kolom `principal.asset.hostname` dan `principal.hostname`.
`IP`	`principal.asset.ip`	Nilai kolom `IP` dari log mentah dipetakan ke kolom `principal.asset.ip` dan `principal.ip`.
`IP`	`principal.ip`	Nilai kolom `IP` dari log mentah dipetakan ke kolom `principal.asset.ip` dan `principal.ip`.
`MAC`	`principal.resource.attribute.labels.key`	String "MAC" ditetapkan ke `principal.resource.attribute.labels.key`.
`MAC`	`principal.resource.attribute.labels.value`	Nilai kolom `MAC` dari log mentah dipetakan ke `principal.resource.attribute.labels.value`.
`medium`	`security_result.detection_fields.key`	String "medium" ditetapkan ke `security_result.detection_fields.key`.
`medium`	`security_result.detection_fields.value`	Nilai kolom `medium` dari log mentah dipetakan ke `security_result.detection_fields.value`. `metadata.event_type` ditentukan oleh logika dalam parser. Jika ID mesin `principal` dan `target` ada, ID tersebut akan ditetapkan ke `NETWORK_CONNECTION`. Jika ID pengguna `principal` atau `target` ada, ID tersebut ditetapkan ke `USER_UNCATEGORIZED`. Jika hanya ID mesin `principal` yang ada, ID tersebut akan ditetapkan ke `STATUS_UPDATE`. Jika tidak, nilai defaultnya adalah `GENERIC_EVENT`. String "EXTREME WIRELESS" ditetapkan ke `metadata.product_name`.
`prod_event_type`	`metadata.product_event_type`	Nilai kolom `prod_event_type` dari log mentah dipetakan ke kolom `metadata.product_event_type`.
`port`	`principal.port`	Nilai kolom `port` dari log mentah, yang dikonversi menjadi bilangan bulat, dipetakan ke kolom `principal.port`.
`problem_summary`	`security_result.summary`	Nilai kolom `problem_summary` dari log mentah dipetakan ke kolom `security_result.summary`.
`SSID`	`principal.resource.attribute.labels.key`	String "SSID" ditetapkan ke `principal.resource.attribute.labels.key`.
`SSID`	`principal.resource.attribute.labels.value`	Nilai kolom `SSID` dari log mentah dipetakan ke `principal.resource.attribute.labels.value`.
`station`	`principal.asset.hostname`	Nilai kolom `station` dari log mentah dipetakan ke kolom `principal.asset.hostname` dan `principal.hostname`.
`station`	`principal.hostname`	Nilai kolom `station` dari log mentah dipetakan ke kolom `principal.asset.hostname` dan `principal.hostname`.
`target_host`	`target.asset.hostname`	Nilai kolom `target_host` dari log mentah dipetakan ke kolom `target.asset.hostname` dan `target.hostname`.
`target_host`	`target.hostname`	Nilai kolom `target_host` dari log mentah dipetakan ke kolom `target.asset.hostname` dan `target.hostname`.
`target_ip`	`target.asset.ip`	Nilai kolom `target_ip` dari log mentah dipetakan ke kolom `target.asset.ip` dan `target.ip`.
`target_ip`	`target.ip`	Nilai kolom `target_ip` dari log mentah dipetakan ke kolom `target.asset.ip` dan `target.ip`.
`target_port`	`target.port`	Nilai kolom `target_port` dari log mentah, yang dikonversi menjadi bilangan bulat, dipetakan ke kolom `target.port`.
`target_user`	`target.user.userid`	Nilai kolom `target_user` dari log mentah dipetakan ke kolom `target.user.userid`.
`user-profile`	`security_result.detection_fields.key`	String "profil pengguna" ditetapkan ke `security_result.detection_fields.key`.
`user-profile`	`security_result.detection_fields.value`	Nilai kolom `user-profile` dari log mentah dipetakan ke `security_result.detection_fields.value`.
`username`	`principal.user.userid`	Nilai kolom `username` dari log mentah dipetakan ke kolom `principal.user.userid`. String "EXTREME_WIRELESS" ditetapkan ke `metadata.vendor_name`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.