Recolha registos do router Yamaha

Compatível com:

Este documento explica como carregar registos do router Yamaha para o Google Security Operations através do Bindplane. O analisador usa padrões grok para extrair campos como a data/hora, o nome do anfitrião, o utilizador, a descrição e os endereços IP de origem e de destino das mensagens syslog. Em seguida, mapeia estes campos extraídos para o MDUs, categorizando o tipo de evento com base na presença de informações principais, de destino e do utilizador.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
  • Acesso privilegiado ao dispositivo de encaminhamento Yamaha

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'YAMAHA_ROUTER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Syslog para o router Yamaha

  1. Ligue-se ao router através de SSH ou CLI.

  2. Defina o anfitrião Syslog para o IP do agente Bindplane:

    • A porta predefinida é 514/UDP.
    • Substitua <BINDPLANE_IP> pelo endereço IP real do agente do Bindplane.
    syslog host <BINDPLANE_IP>

  3. Opcional: defina a funcionalidade e o nível do Syslog:

    syslog facility local0
syslog info

  4. Guarde a configuração para garantir que as alterações persistem após o reinício:

    save

Ative a saída Syslog para os módulos necessários

  1. Ative o registo para funcionalidades específicas:

    • Registo de firewall (filtro de IP):

      ip filter log on

    • Registo NAT:

      • Em que 1000 é o número do descritor NAT que está a usar (ajuste conforme necessário).
      nat descriptor log on 1000

    • Registo de ligação PPPoE / WAN:

      pppoe use log on

    • Se usar a WAN DHCP (em vez de PPPoE), registe eventos DHCP:

      dhcp service log on

    • Para o registo da VPN IPSec:

      ipsec log on

    • Para L2TP e PPTP:

      l2tp log on
pptp log on

    • Registe eventos de ativação/desativação da interface:

      log state on

    • Também pode ativar o registo para o sinal de manutenção ativo se estiver a usar a monitorização de links:

      ping keepalive log on

    • Ative o registo para acesso administrativo (como SSH ou Telnet):

      console notice
ssh notice
telnet notice

    • Registar atribuições de DHCP:

      dhcp service log on

    • Registo de DNS (se usar o encaminhador de DNS incorporado):

      dns service log on

    • Registo de transferência de correio (se usar alertas de email):

      smtp service log on

    • Registo de DNS dinâmico:

      ddns service log on

    • Eventos NTP:

      ntpdate log on

    • Registo de autenticação:

      auth log on

    • Registo de raio:

      ppp use radius log on

  2. Guarde a configuração para garantir que as alterações persistem após o reinício:

    save

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
data metadata.description A descrição é extraída do campo data do registo não processado através de padrões grok. São usados padrões diferentes consoante o formato da mensagem de registo. Exemplos: "initiate ISAKMP phase", "Connection closed", "succeeded for SSH".
data metadata.event_timestamp A data/hora é extraída do campo data do registo não processado através de padrões Grok e, em seguida, convertida num objeto de data/hora através do filtro date. Os formatos MMM dd HH:mm:ss e MMM d HH:mm:ss são suportados.
data principal.asset.hostname O nome de anfitrião é extraído do campo data do registo não processado através de padrões grok.
data principal.asset.ip O endereço IP principal é extraído do campo data do registo não processado através de padrões grok. Está mapeado para principal.asset.ip e principal.ip.
data principal.hostname O nome de anfitrião é extraído do campo data do registo não processado através de padrões grok.
data principal.ip O endereço IP principal é extraído do campo data do registo não processado através de padrões grok. Está mapeado para principal.asset.ip e principal.ip.
data principal.user.userid O ID do utilizador é extraído do campo data do registo não processado através de padrões grok.
data target.asset.ip O endereço IP de destino é extraído do campo data do registo não processado através de padrões grok.
data target.ip O endereço IP de destino é extraído do campo data do registo não processado através de padrões grok. O tipo de evento é determinado pela lógica do analisador com base na presença de determinados campos. Se principal e target estiverem presentes, o tipo de evento é NETWORK_CONNECTION. Se user estiver presente, o tipo de evento é USER_UNCATEGORIZED. Se apenas principal estiver presente, o tipo de evento é STATUS_UPDATE. Caso contrário, o fuso horário predefinido é GENERIC_EVENT. Codificado como "YAMAHA_ROUTER". Codificado como "YAMAHA_ROUTER". Codificado como "YAMAHA_ROUTER".
log_type metadata.log_type Copiado diretamente do campo log_type do registo não processado.
timestamp timestamp Este é o tempo de carregamento do registo e é adicionado automaticamente pela plataforma Chronicle. Não é analisado a partir do registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.