Brocade-Switch-Protokolle erfassen

Dieser Parser extrahiert Felder aus Brocade-Switch-Logs mithilfe von Grok-Mustern, die verschiedenen Protokollformaten entsprechen. Diese extrahierten Felder werden dann UDM-Feldern zugeordnet. Dabei werden unterschiedliche Protokollstrukturen verarbeitet und die Daten mit Metadaten wie Anbieter- und Produktinformationen angereichert. Der Parser führt auch Datentransformationen durch, z. B. die Umwandlung von Schweregraden und die Verarbeitung wiederholter Nachrichten, bevor die endgültige UDM-Ausgabe generiert wird.

Hinweis

• Sie benötigen eine Google Security Operations-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen Administratorzugriff auf die Befehlszeile des Brocade-Switches.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

1. Führen Sie für die Windows-Installation das folgende Script aus:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Führen Sie für die Linux-Installation das folgende Script aus:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Brocade_Switch
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

   sudo systemctl restart bindplane
   

Syslog-Export von einem Brocade-Switch konfigurieren

1. Stellen Sie mit den entsprechenden Anmeldedaten eine SSH- oder Telnet-Verbindung zum Brocade-Switch her.

2. Führen Sie den folgenden Befehl aus, um die IP-Adresse oder den Hostnamen und den Port des Syslog-Servers (Bindebene) anzugeben:

   syslogadmin --set -ip <IP> -port <Port>
   

   Beispiel:

   syslogadmin --set -ip 10.10.10.10 -port 54525
   

3. Führen Sie den folgenden Befehl aus, um die konfigurierten syslog-Server aufzurufen:

   syslogadmin --show -ip
   

UDM-Zuordnungstabelle

Änderungen

2024-04-15

• Unterstützung für kundenspezifische Protokolle hinzugefügt.

2023-12-01

• Neu erstellter Parser.