收集 Yamaha 路由器記錄

支援的國家/地區:

本文說明如何使用 Bindplane 將 Yamaha 路由器記錄擷取至 Google Security Operations。剖析器會使用 grok 模式,從系統記錄訊息中擷取時間戳記、主機名稱、使用者、說明、來源和目的地 IP 位址等欄位。然後將這些擷取的欄位對應至 UDM,並根據主體、目標和使用者資訊的存在與否,將事件類型分類。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟
  • Yamaha 路由器裝置的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'YAMAHA_ROUTER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 視基礎架構需求,替換通訊埠和 IP 位址。
    • <customer_id> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中,驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

設定 Yamaha 路由器的系統記錄

  1. 使用 SSH 或 CLI 連線至路由器。

  2. 將系統記錄檔主機設為 Bindplane 代理程式 IP:

    • 預設通訊埠為 514/UDP
    • 請將 <BINDPLANE_IP> 替換為實際的 Bindplane 代理程式 IP 位址。
    syslog host <BINDPLANE_IP>

  3. 選用:設定 Syslog 設施和層級:

    syslog facility local0
syslog info

  4. 儲存設定,確保變更在重新啟動後仍會保留:

    save

為必要模組啟用 Syslog 輸出

  1. 為特定功能啟用記錄功能:

    • 防火牆 (IP 篩選器) 記錄:

      ip filter log on

    • NAT 記錄:

      • 其中 1000 是您使用的 NAT 描述元編號 (請視需要調整)。
      nat descriptor log on 1000

    • PPPoE / WAN 連線記錄:

      pppoe use log on

    • 如果您使用 DHCP WAN (而非 PPPoE),請記錄 DHCP 事件:

      dhcp service log on

    • IPsec VPN 記錄:

      ipsec log on

    • 如果是 L2TP 和 PPTP:

      l2tp log on
pptp log on

    • 記錄介面啟動/關閉事件:

      log state on

    • 如果您使用連結監控功能,也可以啟用 Ping 存留時間記錄:

      ping keepalive log on

    • 啟用管理員存取記錄 (例如 SSH 或 Telnet):

      console notice
ssh notice
telnet notice

    • 記錄 DHCP 指派作業:

      dhcp service log on

    • DNS 記錄 (如果使用內建 DNS 轉送器):

      dns service log on

    • 郵件轉移記錄 (如果使用電子郵件快訊):

      smtp service log on

    • 動態 DNS 記錄:

      ddns service log on

    • NTP 事件:

      ntpdate log on

    • 驗證記錄:

      auth log on

    • 半徑記錄:

      ppp use radius log on

  2. 儲存設定,確保變更在重新啟動後仍會保留:

    save

UDM 對應表

記錄欄位 UDM 對應 邏輯
data metadata.description 系統會使用 grok 模式,從原始記錄的 data 欄位擷取說明。系統會根據記錄訊息的格式使用不同模式。例如:「initiate ISAKMP phase」、「Connection closed」、「succeeded for SSH」。
data metadata.event_timestamp 時間戳記是使用 grok 模式從原始記錄的 data 欄位擷取,然後使用 date 篩選器轉換為時間戳記物件。支援 MMM dd HH:mm:ssMMM d HH:mm:ss 格式。
data principal.asset.hostname 主機名稱是使用 grok 模式,從原始記錄的 data 欄位中擷取而得。
data principal.asset.ip 系統會使用 Grok 模式,從原始記錄的 data 欄位擷取主體 IP 位址。並對應至 principal.asset.ipprincipal.ip
data principal.hostname 主機名稱是使用 grok 模式,從原始記錄的 data 欄位中擷取而得。
data principal.ip 系統會使用 Grok 模式,從原始記錄的 data 欄位擷取主體 IP 位址。並對應至 principal.asset.ipprincipal.ip
data principal.user.userid 系統會使用 grok 模式,從原始記錄的 data 欄位中擷取使用者 ID。
data target.asset.ip 系統會使用 grok 模式,從原始記錄的 data 欄位中擷取目標 IP 位址。
data target.ip 系統會使用 grok 模式,從原始記錄的 data 欄位中擷取目標 IP 位址。剖析器邏輯會根據特定欄位是否存在,判斷事件類型。如果同時存在 principaltarget,事件類型為 NETWORK_CONNECTION。如果 user 存在,事件類型為 USER_UNCATEGORIZED。如果只有 principal,則事件類型為 STATUS_UPDATE。否則預設為 GENERIC_EVENT。硬式編碼為「YAMAHA_ROUTER」。硬式編碼為「YAMAHA_ROUTER」。硬式編碼為「YAMAHA_ROUTER」。
log_type metadata.log_type 直接從原始記錄的 log_type 欄位複製。
timestamp timestamp 這是記錄的擷取時間,由 Chronicle 平台自動新增。不會從原始記錄檔剖析。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。