ヤマハ ルーターのログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Yamaha ルーターのログを Google Security Operations に取り込む方法について説明します。パーサーは、grok パターンを使用して、syslog メッセージからタイムスタンプ、ホスト名、ユーザー、説明、送信元と宛先の IP アドレスなどのフィールドを抽出します。次に、抽出されたフィールドを UDM にマッピングし、プリンシパル、ターゲット、ユーザー情報の有無に基づいてイベントタイプを分類します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認する
  • ヤマハ ルーター アプライアンスへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

その他のインストール オプションについては、インストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。
    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'YAMAHA_ROUTER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
    • <customer_id> は、実際の顧客 ID に置き換えます。
    • /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

Yamaha ルーターの Syslog を構成する

  1. SSH または CLI を使用してルーターに接続します。

  2. Syslog ホストを Bindplane エージェントの IP に設定します。

    • デフォルトのポートは 514/UDP です。
    • <BINDPLANE_IP> は、実際の Bindplane エージェントの IP アドレスに置き換えます。
    syslog host <BINDPLANE_IP>

  3. 省略可: Syslog ファシリティとレベルを設定します。

    syslog facility local0
syslog info

  4. 構成を保存して、再起動後も変更が保持されるようにします。

    save

必要なモジュールの Syslog 出力を有効にする

  1. 特定の機能のロギングを有効にします。

    • ファイアウォール(IP フィルタ)のロギング:

      ip filter log on

    • NAT ロギング:

      • ここで、1000 は使用している NAT 記述子の番号です(必要に応じて調整します)。
      nat descriptor log on 1000

    • PPPoE / WAN 接続のロギング:

      pppoe use log on

    • (PPPoE ではなく)DHCP WAN を使用する場合は、DHCP イベントをログに記録します。

      dhcp service log on

    • IPsec VPN のロギングの場合:

      ipsec log on

    • L2TP と PPTP の場合:

      l2tp log on
pptp log on

    • インターフェースのアップ/ダウン イベントをログに記録します。

      log state on

    • リンク モニタリングを使用している場合は、ping キープアライブのロギングを有効にすることもできます。

      ping keepalive log on

    • 管理アクセス(SSH や Telnet など)のロギングを有効にします。

      console notice
ssh notice
telnet notice

    • DHCP 割り当てをログに記録する:

      dhcp service log on

    • DNS ロギング(組み込みの DNS フォワーダーを使用している場合):

      dns service log on

    • メール転送のロギング(メールアラートを使用している場合):

      smtp service log on

    • ダイナミック DNS ロギング:

      ddns service log on

    • NTP イベント:

      ntpdate log on

    • 認証ロギング:

      auth log on

    • 半径のロギング:

      ppp use radius log on

  2. 再起動後も変更が保持されるように構成を保存します。

    save

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
data metadata.description 説明は、grok パターンを使用して未加工ログの data フィールドから抽出されます。ログメッセージの形式に応じて、異なるパターンが使用されます。例: 「initiate ISAKMP phase」、「Connection closed」、「succeeded for SSH」。
data metadata.event_timestamp タイムスタンプは、Grok パターンを使用して未加工ログの data フィールドから抽出され、date フィルタを使用してタイムスタンプ オブジェクトに変換されます。MMM dd HH:mm:ss 形式と MMM d HH:mm:ss 形式がサポートされています。
data principal.asset.hostname ホスト名は、grok パターンを使用して未加工ログの data フィールドから抽出されます。
data principal.asset.ip プリンシパルの IP アドレスは、grok パターンを使用して未加工ログの data フィールドから抽出されます。principal.asset.ipprincipal.ip の両方にマッピングされます。
data principal.hostname ホスト名は、grok パターンを使用して未加工ログの data フィールドから抽出されます。
data principal.ip プリンシパルの IP アドレスは、grok パターンを使用して未加工ログの data フィールドから抽出されます。principal.asset.ipprincipal.ip の両方にマッピングされます。
data principal.user.userid ユーザー ID は、grok パターンを使用して未加工のログの data フィールドから抽出されます。
data target.asset.ip ターゲット IP アドレスは、grok パターンを使用して未加工ログの data フィールドから抽出されます。
data target.ip ターゲット IP アドレスは、grok パターンを使用して未加工ログの data フィールドから抽出されます。イベントタイプは、特定のフィールドの有無に基づいてパーサー ロジックによって決定されます。principaltarget の両方が存在する場合、イベントタイプは NETWORK_CONNECTION です。user が存在する場合、イベントタイプは USER_UNCATEGORIZED です。principal のみ存在する場合、イベントタイプは STATUS_UPDATE です。それ以外の場合は、デフォルトで GENERIC_EVENT になります。「YAMAHA_ROUTER」にハードコードされています。「YAMAHA_ROUTER」にハードコードされています。「YAMAHA_ROUTER」にハードコードされています。
log_type metadata.log_type 未加工ログの log_type フィールドから直接コピーされます。
timestamp timestamp これはログの取り込み時間であり、Chronicle プラットフォームによって自動的に追加されます。未加工ログから解析されません。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。