Esta página foi traduzida pela API Cloud Translation.

Recolha registos de Extreme Wireless

Compatível com:

Google secops SIEM

Este documento explica como carregar registos sem fios da Extreme Networks para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog através de padrões grok baseados no campo prod_event_type. Em seguida, mapeia estes campos extraídos para o modelo de dados unificado (UDM), processando vários formatos de registo e enriquecendo os dados com metadados e etiquetas para um contexto melhorado.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado ao Extreme Networks CloudIQ

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'EXTREME_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Extreme Networks CloudIQ

Inicie sessão na IU Web do CloudIQ.
Aceda a Configurar > Objetos comuns > Gestão > Servidores Syslog.
Clique em +.
Indique os seguintes detalhes de configuração:
- Nome: indique um nome exclusivo para o servidor.
- Gravidade: selecione Informações.
- Selecione um endereço IP do syslog existente no menu Selecionar ou clique em +.
- Introduza o endereço IP do agente do Bindplane.
- Introduza o número da porta do agente Bindplane.
- Clique em ADICIONAR.
Clique em Guardar servidor Syslog.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`action`	`security_result.detection_fields.key`	O valor do campo `action` do registo não processado é mapeado para o campo `security_result.detection_fields.key`.
`action`	`security_result.detection_fields.value`	O valor do campo `action` do registo não processado é mapeado para o campo `security_result.detection_fields.value`.
`BSSID`	`principal.resource.attribute.labels.key`	A string "BSSID" está atribuída ao `principal.resource.attribute.labels.key`.
`BSSID`	`principal.resource.attribute.labels.value`	O valor do campo `BSSID` do registo não processado é mapeado para o campo `principal.resource.attribute.labels.value`.
`collection_time.nanos`	`metadata.event_timestamp.nanos`	O valor de `collection_time.nanos` do registo não processado é mapeado para `metadata.event_timestamp.nanos`.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	O valor de `collection_time.seconds` do registo não processado é mapeado para `metadata.event_timestamp.seconds`.
`collection_time.seconds`	`timestamp.seconds`	O valor de `collection_time.seconds` do registo não processado é mapeado para `timestamp.seconds`.
`collection_time.nanos`	`timestamp.nanos`	O valor de `collection_time.nanos` do registo não processado é mapeado para `timestamp.nanos`.
`data`	`security_result.description`	O valor do campo `data` do registo não processado, após várias transformações `gsub` para remover carateres indesejados e valores "N/A", é mapeado para o campo `security_result.description`.
`description`	`security_result.description`	O valor do campo `description`, extraído pelo analisador grok, é mapeado para o campo `security_result.description`.
`first`	`security_result.detection_fields.key`	A string "first" está atribuída ao `security_result.detection_fields.key`.
`first`	`security_result.detection_fields.value`	O valor do campo `first` do registo não processado é mapeado para o campo `security_result.detection_fields.value`.
`hostname`	`principal.asset.hostname`	O valor do campo `hostname` do registo não processado é mapeado para os campos `principal.asset.hostname` e `principal.hostname`.
`hostname`	`principal.hostname`	O valor do campo `hostname` do registo não processado é mapeado para os campos `principal.asset.hostname` e `principal.hostname`.
`IP`	`principal.asset.ip`	O valor do campo `IP` do registo não processado é mapeado para os campos `principal.asset.ip` e `principal.ip`.
`IP`	`principal.ip`	O valor do campo `IP` do registo não processado é mapeado para os campos `principal.asset.ip` e `principal.ip`.
`MAC`	`principal.resource.attribute.labels.key`	A string "MAC" está atribuída ao `principal.resource.attribute.labels.key`.
`MAC`	`principal.resource.attribute.labels.value`	O valor do campo `MAC` do registo não processado é mapeado para o campo `principal.resource.attribute.labels.value`.
`medium`	`security_result.detection_fields.key`	A string "medium" é atribuída ao `security_result.detection_fields.key`.
`medium`	`security_result.detection_fields.value`	O valor do campo `medium` do registo não processado é mapeado para o campo `security_result.detection_fields.value`. O `metadata.event_type` é determinado pela lógica no analisador. Se estiverem presentes os IDs de máquina `principal` e `target`, o valor é definido como `NETWORK_CONNECTION`. Se estiverem presentes IDs dos utilizadores `principal` ou `target`, o valor é definido como `USER_UNCATEGORIZED`. Se apenas o ID da máquina `principal` estiver presente, é definido como `STATUS_UPDATE`. Caso contrário, o fuso horário predefinido é `GENERIC_EVENT`. A string "EXTREME WIRELESS" está atribuída a `metadata.product_name`.
`prod_event_type`	`metadata.product_event_type`	O valor do campo `prod_event_type` do registo não processado é mapeado para o campo `metadata.product_event_type`.
`port`	`principal.port`	O valor do campo `port` do registo não processado, convertido num número inteiro, é mapeado para o campo `principal.port`.
`problem_summary`	`security_result.summary`	O valor do campo `problem_summary` do registo não processado é mapeado para o campo `security_result.summary`.
`SSID`	`principal.resource.attribute.labels.key`	A string "SSID" está atribuída ao `principal.resource.attribute.labels.key`.
`SSID`	`principal.resource.attribute.labels.value`	O valor do campo `SSID` do registo não processado é mapeado para o campo `principal.resource.attribute.labels.value`.
`station`	`principal.asset.hostname`	O valor do campo `station` do registo não processado é mapeado para os campos `principal.asset.hostname` e `principal.hostname`.
`station`	`principal.hostname`	O valor do campo `station` do registo não processado é mapeado para os campos `principal.asset.hostname` e `principal.hostname`.
`target_host`	`target.asset.hostname`	O valor do campo `target_host` do registo não processado é mapeado para os campos `target.asset.hostname` e `target.hostname`.
`target_host`	`target.hostname`	O valor do campo `target_host` do registo não processado é mapeado para os campos `target.asset.hostname` e `target.hostname`.
`target_ip`	`target.asset.ip`	O valor do campo `target_ip` do registo não processado é mapeado para os campos `target.asset.ip` e `target.ip`.
`target_ip`	`target.ip`	O valor do campo `target_ip` do registo não processado é mapeado para os campos `target.asset.ip` e `target.ip`.
`target_port`	`target.port`	O valor do campo `target_port` do registo não processado, convertido num número inteiro, é mapeado para o campo `target.port`.
`target_user`	`target.user.userid`	O valor do campo `target_user` do registo não processado é mapeado para o campo `target.user.userid`.
`user-profile`	`security_result.detection_fields.key`	A string "user profile" é atribuída ao `security_result.detection_fields.key`.
`user-profile`	`security_result.detection_fields.value`	O valor do campo `user-profile` do registo não processado é mapeado para o campo `security_result.detection_fields.value`.
`username`	`principal.user.userid`	O valor do campo `username` do registo não processado é mapeado para o campo `principal.user.userid`. A string "EXTREME_WIRELESS" está atribuída a `metadata.vendor_name`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.