Recopila registros de Cambium Networks

Compatible con:

En este documento, se explica cómo transferir registros de Cambium Networks a Google Security Operations con Bindplane. El analizador extrae pares clave-valor de los mensajes de syslog del interruptor y el router de Cambium Networks y los asigna a un modelo de datos unificado (UDM). Usa Grok para estructurar el mensaje inicial, KV para separar los pares clave-valor y las sentencias condicionales para asignar campos extraídos a atributos específicos de la AUA, y categorizar los eventos como "STATUS_UPDATE" o "GENERIC_EVENT".

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos del firewall están abiertos.
  • Acceso privilegiado a dispositivos Cambium Networks

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CAMBIUM_NETWORKS'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en ePMP 1000/2000/Force 180/200 y ePMP Elevate

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de Syslog.
  3. Proporciona los siguientes detalles de configuración:
    • Máscara de Syslog: Haz clic en Seleccionar todo.
    • Servidor 1: Ingresa la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Configura Syslog en ePMP 1000 HS y cnPilot E400/E500/E501

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configurar > Sistema > Registro de eventos.
  3. Proporciona los siguientes detalles de configuración:
    • Syslog Server 1: Ingresa la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

  5. Accede a la CLI del dispositivo con SSH y, luego, ingresa el siguiente comando para habilitar el nivel de depuración:

    logging  cnmaestro  7

  6. Guarda y aplica la configuración.

  7. Ingresa el siguiente comando para verificar los registros del agente de dispositivos desde la CLI:

    service show debug-logs device-agent

Cómo configurar Syslog en cnPilot R200/R201/R190

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Administración > Administración > Configuración del registro del sistema.
  3. Proporciona los siguientes detalles de configuración:
    • Syslog Enable: Selecciona Habilitar.
    • Nivel de Syslog: Selecciona INFO.
    • Remote Syslog Enable: Selecciona Enable.
    • Servidor de Syslog remoto: Ingresa la dirección IP del agente de Bindplane.
  4. Haz clic en Guardar.

Cómo configurar Syslog en el AP PMP 450/450i/450m

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configuración > cnMaestro.
  3. Proporciona los siguientes detalles de configuración:
    • Nivel de registro de depuración del agente de cnMaestro: Selecciona INFO.
  4. Ve a Configuración > Syslog.
  5. Proporciona los siguientes detalles de configuración:
    • Uso del servidor DNS de Syslog: Selecciona Disable DNS Domain Name.
    • Servidor de Syslog: Ingresa la dirección IP del agente de Bindplane.
    • Puerto del servidor de Syslog: Ingresa el número de puerto del agente de Bindplane.
    • AP Syslog Transmit: Selecciona Enabled.
    • SM Syslog Transmit: Selecciona Enabled.
    • Nivel mínimo de Syslog: Selecciona info.
  6. Haz clic en Guardar.

Configura Syslog en el SM PMP 450/450i/450m

  1. Accede a la GUI de Cambium Networks.
  2. Ve a Configuración > cnMaestro.
  3. Proporciona los siguientes detalles de configuración:
    • Nivel de registro de depuración del agente de cnMaestro: Selecciona INFO.
  4. Ve a Configuración > Syslog.
  5. Proporciona los siguientes detalles de configuración:
    • Fuente de configuración de Syslog: Selecciona AP Preferred.
    • Uso del servidor DNS de Syslog: Selecciona Disable DNS Domain Name.
    • Servidor de Syslog: Ingresa la dirección IP del agente de Bindplane.
    • Puerto del servidor de Syslog: Ingresa el número de puerto del agente de Bindplane.
    • Transmisión de Syslog: Selecciona Obtener del AP.
    • Syslog Minimum Level Source: Selecciona AP Preferred.
    • Nivel mínimo de Syslog: Selecciona info.
  6. Haz clic en Guardar.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
bssid read_only_udm.principal.mac Se extrae de kv_fields con la clave bssid.
canal read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave channel. Es parte de una etiqueta.
host_name read_only_udm.principal.hostname Se extrae del mensaje de registro con el patrón grok.
ids_event read_only_udm.security_result.summary Se extrae de kv_fields con la clave ids_event.
ids_status read_only_udm.security_result.description Se extrae de kv_fields con la clave ids_status. Se usa como descripción cuando está presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave iap. Es parte de una etiqueta.
fabricante read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave manufacturer. Es parte de una etiqueta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave rssi. Es parte de una etiqueta.
seguridad read_only_udm.security_result.about.resource.attribute.labels.value Se extrae de kv_fields con la clave security. Es parte de una etiqueta.
gravedad, read_only_udm.security_result.severity Se asigna desde el mensaje de registro con el patrón grok. alert se asigna a HIGH, warn se asigna a MEDIUM y todo lo demás se asigna a LOW.
gravedad, read_only_udm.security_result.severity_details Se asigna desde el mensaje de registro con el patrón grok. Conserva el valor de gravedad original.
ssid read_only_udm.principal.application Se extrae de kv_fields con la clave ssid.
timestamp read_only_udm.metadata.event_timestamp Se extrae del mensaje de registro con el patrón grok y se convierte en una marca de tiempo.
read_only_udm.metadata.event_type Se determina en función de la presencia de valores en los campos security_result y host_name. Si ambos campos están presentes, el tipo de evento se establece como STATUS_UPDATE; de lo contrario, es GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key La lógica del analizador determina el valor de este campo según el par clave-valor específico que se está procesando. Los valores posibles son Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator y encryption_standard.
read_only_udm.security_result.description Si la gravedad es warn, este campo toma el valor de kv_fields; de lo contrario, toma el valor de ids_status.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.