Recopila registros del interruptor Brocade

Este analizador extrae campos de los registros del interruptor Brocade con patrones de grok que coinciden con varios formatos de registro. Luego, asigna estos campos extraídos a los campos de la UDM, controla diferentes estructuras de registro y enriquece los datos con metadatos, como información del proveedor y del producto. El analizador también realiza transformaciones de datos, como convertir niveles de gravedad y controlar mensajes repetidos, antes de generar el resultado final de la UDM.

Antes de comenzar

• Asegúrate de tener una instancia de Google Security Operations.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso de administrador de la CLI al switch Brocade.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede a la máquina en la que está instalado BindPlane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       tcplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Brocade_Switch
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de BindPlane para aplicar los cambios:

   sudo systemctl restart bindplane
   

Configura la exportación de Syslog desde un switch Brocade

1. Conéctate al switch Brocade con SSH o Telnet con las credenciales adecuadas.

2. Ejecuta el siguiente comando para especificar la dirección IP o el nombre de host y el puerto del servidor de syslog (Bindplane):

   syslogadmin --set -ip <IP> -port <Port>
   

   Por ejemplo:

   syslogadmin --set -ip 10.10.10.10 -port 54525
   

3. Ejecuta el siguiente comando para mostrar los servidores de syslog configurados:

   syslogadmin --show -ip
   

Tabla de asignación de UDM

Cambios

2024-04-15

• Se agregó compatibilidad con registros específicos del cliente.

2023-12-01

• Sin embargo, el analizador se creó recientemente.