Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del balanceador de cargas de red A10

Compatible con:

Google secops Siem

En este documento, se explica cómo exportar registros del balanceador de cargas de red A10 a Google Security Operations con un agente de Bindplane. Primero, el analizador usa patrones grok para extraer los campos relevantes. Luego, aprovecha las sentencias condicionales (if) para asignar los campos extraídos al modelo de datos unificado (UDM) según su presencia y contenido, y, en última instancia, categorizar el tipo de evento.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios al balanceador de cargas A10.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: A10_LOAD_BALANCER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el servidor Syslog en el balanceador de cargas A10

Establece una conexión SSH al balanceador de cargas A10 con un cliente SSH.
Ejecuta el siguiente comando para ingresar al modo de configuración:
```
config
```
Configura el servidor syslog remoto con el siguiente comando:
```
logging host <bindplane-server-ip> <port-number>
```
- Reemplaza <bindplane-server-ip> por la dirección IP de Bindplane y <port-number> por la configurada en Bindplane, por ejemplo, 514.
Para establecer el nivel de gravedad, usa el siguiente comando:
```
logging level information
```
- Esto enviará mensajes informativos (como advertencias y errores) al agente de Bindplane.
Ejecuta el siguiente comando para asegurarte de que el registro de syslog esté habilitado:
```
logging enable
```
Guarda la configuración para asegurarte de que persista después de un reinicio:
```
write memory
```

Ejemplo de una configuración completa de la CLI:

config
logging host 192.168.1.100 514
logging level info
logging enable
write memory

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
dns	additional.fields.dns.value.string_value	El valor se toma del campo `dns` que extrae el patrón grok.
dns_server	additional.fields.dns_server.value.string_value	El valor se toma del campo `dns_server` que extrae el patrón grok.
gslb	additional.fields.gslb.value.string_value	El valor se toma del campo `gslb` que extrae el patrón grok.
host_name	principal.hostname principal.asset.hostname	El valor se toma del campo `host_name` que extrae el patrón grok.
httpmethod	network.http.method	El valor se toma del campo `httpmethod` que extrae el patrón grok.
partion_id	additional.fields.partion_id.value.string_value	El valor se toma del campo `partion_id` que extrae el patrón grok.
prin_ip	principal.ip principal.asset.ip	El valor se toma del campo `prin_ip` que extrae el patrón grok.
prin_mac	principal.mac	El valor se toma del campo `prin_mac` que extrae el patrón grok, sin puntos y con dos puntos insertados cada dos caracteres.
prin_port	principal.port	El valor se toma del campo `prin_port` que extrae el patrón grok y se convierte en un número entero.
protocolo	network.ip_protocol	El valor se toma del campo `proto` que extrae el patrón grok. Si el campo `message` contiene `UDP`, el valor se establece en `UDP`.
sessionid	network.session_id	El valor se toma del campo `sessionid` que extrae el patrón grok.
status_code	network.http.response_code	El valor se toma del campo `status_code` que extrae el patrón grok y se convierte en un número entero.
tar_ip	target.ip target.asset.ip	El valor se toma del campo `tar_ip` que extrae el patrón grok.
tar_mac	target.mac	El valor se toma del campo `tar_mac` que extrae el patrón grok, sin puntos y con dos puntos insertados cada dos caracteres.
tar_port	target.port	El valor se toma del campo `tar_port` que extrae el patrón grok y se convierte en un número entero.
hora	metadata.event_timestamp.seconds	El valor se analiza desde el campo `time` que extrae el patrón grok, con varios formatos de fecha posibles.
url	target.url	El valor se toma del campo `url` que extrae el patrón grok.
usuario	principal.user.userid	El valor se toma del campo `user` que extrae el patrón grok.
N/A	metadata.event_type	Se determina según la lógica del analizador en función de la presencia de información principal y objetivo: - `NETWORK_CONNECTION`: Si la información principal y objetivo están presentes. - `STATUS_UPDATE`: Si solo está presente la información principal. - `GENERIC_EVENT`: De lo contrario.
N/A	metadata.log_type	Se codifica en `A10_LOAD_BALANCER`.
N/A	network.application_protocol	Se establece en `HTTP` si el campo `proto` es `HTTP`.

Cambios

2024-12-27

Mejora:

Se agregaron patrones de Grok para analizar registros sin analizar.
Se agregó un bloque KV para analizar los registros.
Se asignó prin_host a principal.hostname y principal.asset.hostname.
Se asignó app a target.application.
Se asignó device_version a metadata.product_version.
Se asignó device_vendor a metadata.vendor_name.
Se asignó device_product a metadata.product_name.
Se asignaron event_name y device_event_class_id a madeta.product_event_type.
Se asignó severity a security_result.severity.
Se asignó src a principal.ip y principal.asset.ip.
Se asignó spt a principal.port.
Se asignó dst a target.ip y target.asset.ip.
Se asignó dpt a target.port.
Se asignó msg a metadata.description.
Se asignó suser a principal.user.user_display_name.
Se asignaron act y cn1 a additional.fields.
Se asignó method a network.http.method.
Se asignó app_proto a network.application_protocol.
Se asignó tls_version a network.tls.version.

2024-01-28

Es un analizador creado recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.