Coletar registros do roteador Yamaha
Neste documento, explicamos como ingerir registros de roteadores Yamaha no Google Security Operations usando o Bindplane. O analisador usa padrões grok para extrair campos como carimbo de data/hora, nome do host, usuário, descrição, endereços IP de origem e destino das mensagens do syslog. Em seguida, ele mapeia esses campos extraídos para a UDM, categorizando o tipo de evento com base na presença de informações principais, de destino e do usuário.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Windows 2016 ou mais recente ou um host Linux com
systemd - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Acesso privilegiado ao dispositivo de roteador Yamaha
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'YAMAHA_ROUTER' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
- Substitua
<customer_id>pelo ID do cliente real. - Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog para o roteador Yamaha
- Conecte-se ao roteador usando SSH ou CLI.
Defina o host syslog como o IP do agente do Bindplane:
- A porta padrão é 514/UDP.
- Substitua
<BINDPLANE_IP>pelo endereço IP real do agente do Bindplane.
syslog host <BINDPLANE_IP>Opcional: defina a facilidade e o nível do Syslog:
syslog facility local0 syslog infoSalve a configuração para garantir que as mudanças persistam após a reinicialização:
save
Ativar a saída do Syslog para os módulos necessários
Ative a geração de registros para recursos específicos:
Geração de registros de firewall (filtro de IP):
ip filter log onGeração de registros do NAT:
- Em que 1000 é o número do descritor de NAT que você está usando. Ajuste conforme necessário.
nat descriptor log on 1000Registro de conexão PPPoE / WAN:
pppoe use log onSe você usa DHCP WAN (em vez de PPPoE), registre eventos de DHCP:
dhcp service log onPara o registro em log da VPN IPsec:
ipsec log onPara L2TP e PPTP:
l2tp log on pptp log onRegistrar eventos de interface ativada/desativada:
log state onTambém é possível ativar o registro para o keepalive de ping se você estiver usando o monitoramento de link:
ping keepalive log onAtive o registro em registros para acesso administrativo (como SSH ou Telnet):
console notice ssh notice telnet noticeRegistrar atribuições de DHCP:
dhcp service log onGeração de registros de DNS (se você estiver usando o encaminhador de DNS integrado):
dns service log onRegistro de transferência de e-mail (se você usa alertas por e-mail):
smtp service log onGeração de registros de DNS dinâmico:
ddns service log onEventos de NTP:
ntpdate log onRegistro de autenticação:
auth log onGeração de registros de raio:
ppp use radius log on
Salve a configuração para garantir que as mudanças persistam após a reinicialização:
save
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
data |
metadata.description |
A descrição é extraída do campo data do registro bruto usando padrões grok. Diferentes padrões são usados dependendo do formato da mensagem de registro. Exemplos: "initiate ISAKMP phase", "Connection closed", "succeeded for SSH". |
data |
metadata.event_timestamp |
O carimbo de data/hora é extraído do campo data do registro bruto usando padrões grok e convertido em um objeto de carimbo de data/hora usando o filtro date. Os formatos MMM dd HH:mm:ss e MMM d HH:mm:ss são aceitos. |
data |
principal.asset.hostname |
O nome do host é extraído do campo data do registro bruto usando padrões grok. |
data |
principal.asset.ip |
O endereço IP principal é extraído do campo data do registro bruto usando padrões grok. Ele é mapeado para principal.asset.ip e principal.ip. |
data |
principal.hostname |
O nome do host é extraído do campo data do registro bruto usando padrões grok. |
data |
principal.ip |
O endereço IP principal é extraído do campo data do registro bruto usando padrões grok. Ele é mapeado para principal.asset.ip e principal.ip. |
data |
principal.user.userid |
O ID do usuário é extraído do campo data do registro bruto usando padrões grok. |
data |
target.asset.ip |
O endereço IP de destino é extraído do campo data do registro bruto usando padrões grok. |
data |
target.ip |
O endereço IP de destino é extraído do campo data do registro bruto usando padrões grok. O tipo de evento é determinado pela lógica do analisador com base na presença de determinados campos. Se principal e target estiverem presentes, o tipo de evento será NETWORK_CONNECTION. Se user estiver presente, o tipo de evento será USER_UNCATEGORIZED. Se apenas principal estiver presente, o tipo de evento será STATUS_UPDATE. Caso contrário, o padrão é GENERIC_EVENT. Codificado como "YAMAHA_ROUTER". Codificado como "YAMAHA_ROUTER". Codificado como "YAMAHA_ROUTER". |
log_type |
metadata.log_type |
Copiado diretamente do campo log_type do registro bruto. |
timestamp |
timestamp |
Esse é o tempo de ingestão do registro, que é adicionado automaticamente pela plataforma do Chronicle. Ele não é analisado do registro bruto. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.