收集 Dell 交换机日志
支持的平台:
Google SecOps
SIEM
此解析器会提取 Dell 交换机日志、标准化时间戳,并使用 Grok 模式将日志消息构建为键值对。然后,它会将这些提取的字段映射到 Unified Data Model (UDM),处理各种日志格式,并使用资产详情和安全严重性等上下文信息丰富数据。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用
systemd
的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您已建立有效的连接,并拥有 Dell 交换机的管理凭据。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml
文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/
目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: sell_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>
替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json
更新为身份验证文件的保存路径。
重启 BindPlane 代理以应用更改
在 Linux 中,如需重启 BindPlane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
在 Windows 中,如需重启 BindPlane Agent,您可以使用 Services 控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置从 Dell 交换机导出 Syslog
- 使用 SSH 或控制台端口连接到 Dell 交换机。
- 使用管理员凭据登录。
使用以下命令指定 syslog 服务器的 IP 地址或主机名(将
<syslog_server_ip>
、<udp|tcp>
和<syslog-port-number>
替换为实际详细信息):logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
可选:为要发送到 syslog 服务器的消息定义最低严重级别。例如,如需记录信息消息及更高级别的消息,请执行以下操作:
logging level informational
将运行配置保存到启动配置,以确保更改在重新启动后保持不变:
copy running-config startup-config
保存配置:
write memory
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
acct |
principal.user.userid |
如果 user 字段不存在,则用作 userid 。 |
addr |
principal.asset.ip 、principal.ip |
会解析为 IP 地址,如果是有效 IP 地址且不同于主机名,则用于正文的 IP 地址和资产 IP 地址。 |
application |
principal.application |
直接映射。 |
asset |
principal.asset.attribute.labels.value |
直接映射到资产标签值,其中键硬编码为“资产名称”。如果资产字段为空且消息包含“Dell”,则将资产设置为“Dell”。 |
auid |
principal.resource.attribute.labels.value |
直接映射到 principal.resource.attribute.labels 中键值为 auid 的标签。 |
datetime |
metadata.event_timestamp |
从消息字段中的各种格式解析并转换为时间戳。 |
dest_ip |
target.asset.ip 、target.ip |
已映射到目标 IP 和目标资产 IP。 |
enterpriseId |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 enterpriseId 的标签。 |
exe |
sec_result.detection_fields.value |
已映射到键为 exe 的检测字段。 |
File |
target.file.full_path |
直接映射。 |
grantors |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 grantors 的标签。 |
host |
principal.hostname 、principal.asset.hostname 、metadata.event_type |
用作主主机名和资产主机名。如果存在 host ,则 metadata.event_type 设置为 STATUS_UPDATE 。如果存在主机名但不存在主机,则将主机名用作主机。 |
hostname |
principal.asset.ip 、principal.ip 、host |
如果是有效 IP,则用于主 IP 和资产 IP。如果 host 为空,则将其用作 host 。 |
ID |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 ID 的标签。 |
ip |
principal.asset.ip 、principal.ip |
已映射到主 IP 和资产 IP。 |
is_synced |
sec_result.detection_fields.value |
已映射到键为 is_synced 的检测字段。 |
local |
target.asset.ip 、target.ip 、target.port |
会被解析以提取本地 IP 和端口,并映射到目标 IP、目标资产 IP 和目标端口。 |
local_ip |
target.asset.ip 、target.ip |
从 local 字段中提取,并映射到目标 IP 和目标素材资源 IP。 |
local_port |
target.port |
从 local 字段中提取,并映射到目标端口。 |
mac |
principal.mac |
如果是有效的 MAC 地址,则映射到主 MAC 地址。 |
msg |
metadata.description |
用作事件说明(如果有)。还会解析其他字段。 |
msg1 |
metadata.description |
如果不存在 msg2 ,则用作事件说明。 |
msg2 |
sec_result.description 、metadata.event_type 、extensions.auth.type |
用作安全结果说明。如果该字段包含“opened for user”(为用户打开),则将事件类型设置为 USER_LOGIN ,将身份验证类型设置为 MACHINE 。如果包含“已为用户关闭”,则将事件类型设置为 USER_LOGOUT ,将身份验证类型设置为 MACHINE 。 |
op |
metadata.product_event_type |
用作商品事件类型(如果存在)。 |
pid |
principal.process.pid |
直接映射。 |
port |
principal.port |
直接映射。 |
prod_event_type |
metadata.product_event_type |
用作商品事件类型(如果存在)。 |
res |
sec_result.summary |
直接映射。 |
sec_description |
sec_result.description 、target.url 、target.ip 、target.asset.ip 、sec_result.action_details |
会解析出目标网址、IP 地址、操作详情,并用作安全结果说明。 |
Server_ID |
target.resource.product_object_id |
直接映射。 |
server |
principal.asset.ip 、principal.ip 、principal.port |
会被解析以提取服务器 IP 和端口,并映射到主 IP、主资产 IP 和主端口。 |
server_ip |
principal.asset.ip 、principal.ip |
从 server 字段中提取,并映射到主 IP 和主资产 IP。 |
server_port |
principal.port |
从 server 字段中提取,并映射到主充电桩。 |
ses |
network.session_id |
直接映射。 |
severity |
sec_result.severity 、metadata.product_event_type |
用于根据特定值确定安全结果严重程度和产品事件类型。 |
software |
principal.asset.software |
直接映射。 |
softwareName |
software.name |
直接映射。 |
Status |
sec_result.summary |
如果不存在 res ,则用作安全结果摘要。 |
subj |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 subj 的标签。 |
swVersion |
software.version |
直接映射。 |
target_host |
target.hostname 、target.asset.hostname |
直接映射到目标主机名和目标资产主机名。 |
target_ip |
target.asset.ip 、target.ip |
直接映射到目标 IP 和目标资产 IP。 |
target_url |
target.url |
直接映射。 |
target_user_id |
target.user.userid |
直接映射。 |
terminal |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 terminal 的标签。 |
tzknown |
sec_result.detection_fields.value |
已映射到键为 tzknown 的检测字段。 |
uid |
principal.resource.attribute.labels.value |
映射到 principal.resource.attribute.labels 中键值为 uid 的标签。 |
user |
principal.user.userid 、metadata.event_type |
用作主要用户 ID。如果存在 user ,则 metadata.event_type 设置为 USER_UNCATEGORIZED 。 |
username |
target.user.userid |
直接映射到目标用户 ID。 |
不适用 | metadata.vendor_name |
已硬编码为“Dell”。 |
不适用 | metadata.product_name |
已硬编码为“Dell Switch”。 |
不适用 | extensions.auth.type |
对于特定的登录/退出登录事件,请将其设置为 MACHINE 。 |
不适用 | metadata.event_type |
由基于各种字段和条件的复杂逻辑确定,如果未另行设置,则默认为 GENERIC_EVENT 。可以是 USER_LOGIN 、USER_LOGOUT 、USER_UNCATEGORIZED 、NETWORK_CONNECTION 、NETWORK_UNCATEGORIZED 、STATUS_UPDATE 或 GENERIC_EVENT 。 |
更改
2024-04-25
- 添加了 Grok 模式来解析新日志类型。
- 将
op
映射到metadata.product_event_type
。 - 将
mac
映射到principal.mac
。 - 将
addr
映射到principal.ip
。 - 将
hostname
映射到principal.ip
。 - 将
server_ip
映射到principal.ip
。 - 将
server_port
映射到principal.port
。 - 将
acct
映射到principal.user.userid
。 - 将
target_ip
映射到target.ip
。 - 将
local_ip
映射到target.ip
。 - 将
local_port
映射到target.port
。 - 将
File
映射到target.file.full_path
。 - 将
target_host
映射到target.hostname
。 - 将
target_user_id
映射到target.user.userid
。 - 将
Server_ID
映射到target.resource.product_object_id
。 - 将
tzknown
、is_synced
和exe
映射到security_result.detection_fields
。 - 将
res
映射到security_result.summary
。 - 如果字段
res
的值为“”,则将status
映射到security_result.summary
。 - 将
uid
、enterpriseId
、auid
、terminal
、subj
、grantors
和ID
映射到principal.resource.attribute.labels
。
2024-04-04
- 添加了 Grok 模式来解析新日志类型。
- 将
prod_event_type
映射到metadata.product_event_type
。 - 将
ip
映射到principal.ip
。 - 将
dest_ip
映射到target.ip
。 - 将
target_url
映射到target.url
。 - 将
sec_description
映射到security_result.description
。 - 将
action_details
映射到security_result.action_details
。
2024-01-04
- 为新提取的日志添加了 Grok 模式。
- 在
datetime
采用SYSLOGTIMESTAMP
格式时添加了日期块。 - 将
softwareName
映射到principal.asset.software.name
。 - 将
swVersion
映射到principal.asset.software.version
。 - 将
port
映射到principal_port
。 - 将
user
映射到principal.user.userid
,并在存在user
时将metadata.event_type
设置为USER_UNCATEGORIZED
。 - 将
application
映射到principal.application
。 - 将
ip
映射到principal.ip
。 - 当
severity
为IFMGR-5-OSTATE_DN
时,将sec_result.severity
设置为INFORMATIONAL
。 - 将
msg
映射到metadata.description
。
2023-11-02
- 新创建的解析器。