Esta página se ha traducido con Cloud Translation API.

Recoger registros de Arbor Edge Defense

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo recoger los registros de Netscout (Arbor Edge Defense) en Google Security Operations mediante un agente de Bindplane. El analizador primero extrae los campos de los mensajes syslog sin procesar mediante un patrón grok que coincide con formatos específicos definidos por el proveedor. A continuación, asigna los campos extraídos y sus valores a los atributos correspondientes del esquema UDM de Google SecOps, lo que permite representar y analizar los eventos de seguridad de forma estandarizada.

Antes de empezar

Asegúrate de que tienes una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso con privilegios a Netscout.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARBOR_EDGE_DEFENSE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar la exportación de Syslog en Netscout (Arbor Edge Defense)

Inicia sesión en la interfaz de usuario web de Netscout.
Selecciona Administración > Notificaciones > Grupos.
En la ventana Grupo de notificaciones, haz clic en Añadir grupo de notificaciones.
Proporcione los siguientes detalles de configuración:
- Destino: introduzca la dirección IP del agente de Bindplane.
- Puerto: introduce el número de puerto del agente de Bindplane.
- Centro: selecciona el centro Local0.
- Gravedad: selecciona Informativa.
Haz clic en Guardar.
Vaya a Administración > Gestión de la configuración > Confirmar o seleccione Confirmar configuración.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
cn2	principal.group.attribute.labels.value	Asignado si no está vacío. Parte de la lógica condicional que implica `cn2Label`.
cn2Label	principal.group.attribute.labels.key	Se asigna si `cn2` no está vacío.
cs2	principal.group.attribute.labels.value	Asignado si no está vacío. Parte de la lógica condicional que implica `cs2Label`.
cs2Label	principal.group.attribute.labels.key	Se asigna si `cs2` no está vacío.
cs3	security_result.detection_fields.value	Asignado si no está vacío. Parte de la lógica condicional que implica `cs3Label`.
cs3Label	security_result.detection_fields.key	Se asigna si `cs3` no está vacío.
cs6	security_result.threat_name	Asignado si no está vacío.
cs7	security_result.category_details	Se concatena con el prefijo `Threat Category:` si no está vacío.
dpt	target.port	Se convierte en un número entero y se asigna si no está vacío o es `0`.
dst	target.ip	Asignado si no está vacío.
msg	metadata.description	Asignado directamente.
	principal.group.attribute.labels.key	Se define como `Traffic Level` si `traffic_level` (extraído de `msg`) no está vacío.
	principal.group.attribute.labels.value	Se asigna el valor `traffic_level` extraído de `msg` si no está vacío.
	principal.group.attribute.labels.key	Se define como `Protection Group Name` si `group_name` (extraído de `msg`) no está vacío.
	principal.group.attribute.labels.value	Se asigna el valor `group_name` extraído de `msg` si no está vacío.
proto	network.ip_protocol	Se convierte a mayúsculas y se asigna si el valor es `TCP` o `UDP`.
rt	metadata.event_timestamp.seconds	Se ha convertido a marca de tiempo mediante el filtro de fecha.
src	principal.ip	Asignado si no está vacío.
spt	principal.port	Se convierte en un número entero y se asigna si no está vacío o es `0`.
	metadata.log_type	Valor fijo establecido en el código fuente `ARBOR_EDGE_DEFENSE`.
	metadata.vendor_name	Valor fijo establecido en el código fuente `NETSCOUT`.
	metadata.product_name	Valor fijo establecido en el código fuente `ARBOR_EDGE_DEFENSE`.
	metadata.product_version	Extraído del campo `device_version` del encabezado CEF.
	metadata.product_event_type	Extraído del campo `event_name` del encabezado CEF.
	intermediary.hostname	Extraído del campo `intermediary_hostname` del encabezado CEF.
	security_result.rule_name	Extraído del campo `security_rule_name` del encabezado CEF.
	security_result.action	Su valor debe ser `BLOCK` si `event_name` es `Blocked Host`.
	security_result.action_details	Se asigna el valor `event_name` si `event_name` es `Blocked Host`.
	security_result.severity	Se asigna desde el campo `severity` según una lógica predefinida y se convierte a mayúsculas.
	metadata.event_type	Se asigna el valor `NETWORK_CONNECTION` si `dst` y `src` no están vacíos. Se asigna el valor `STATUS_UPDATE` si solo `src` no está vacío. De lo contrario, se asigna el valor predeterminado `GENERIC_EVENT`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.