收集 Dell 交换机日志

支持的平台:

此解析器会提取 Dell 交换机日志、标准化时间戳,并使用 Grok 模式将日志消息构建为键值对。然后,它会将这些提取的字段映射到 Unified Data Model (UDM),处理各种日志格式,并使用资产详情和安全严重性等上下文信息丰富数据。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您已建立有效的连接,并拥有 Dell 交换机的管理凭据。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    • 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 BindPlane 代理以应用更改

  • 在 Linux 中,如需重启 BindPlane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 在 Windows 中,如需重启 BindPlane Agent,您可以使用 Services 控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置从 Dell 交换机导出 Syslog

  1. 使用 SSH 或控制台端口连接到 Dell 交换机。
  2. 使用管理员凭据登录。

  3. 使用以下命令指定 syslog 服务器的 IP 地址或主机名(将 <syslog_server_ip><udp|tcp><syslog-port-number> 替换为实际详细信息):

    logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>

  4. 可选:为要发送到 syslog 服务器的消息定义最低严重级别。例如,如需记录信息消息及更高级别的消息,请执行以下操作:

    logging level informational

  5. 运行配置保存到启动配置,以确保更改在重新启动后保持不变:

    copy running-config startup-config

  6. 保存配置:

    write memory

UDM 映射表

日志字段 UDM 映射 逻辑
acct principal.user.userid 如果 user 字段不存在,则用作 userid
addr principal.asset.ipprincipal.ip 会解析为 IP 地址,如果是有效 IP 地址且不同于主机名,则用于正文的 IP 地址和资产 IP 地址。
application principal.application 直接映射。
asset principal.asset.attribute.labels.value 直接映射到资产标签值,其中键硬编码为“资产名称”。如果资产字段为空且消息包含“Dell”,则将资产设置为“Dell”。
auid principal.resource.attribute.labels.value 直接映射到 principal.resource.attribute.labels 中键值为 auid 的标签。
datetime metadata.event_timestamp 从消息字段中的各种格式解析并转换为时间戳。
dest_ip target.asset.iptarget.ip 已映射到目标 IP 和目标资产 IP。
enterpriseId principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 enterpriseId 的标签。
exe sec_result.detection_fields.value 已映射到键为 exe 的检测字段。
File target.file.full_path 直接映射。
grantors principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 grantors 的标签。
host principal.hostnameprincipal.asset.hostnamemetadata.event_type 用作主主机名和资产主机名。如果存在 host,则 metadata.event_type 设置为 STATUS_UPDATE。如果存在主机名但不存在主机,则将主机名用作主机。
hostname principal.asset.ipprincipal.iphost 如果是有效 IP,则用于主 IP 和资产 IP。如果 host 为空,则将其用作 host
ID principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 ID 的标签。
ip principal.asset.ipprincipal.ip 已映射到主 IP 和资产 IP。
is_synced sec_result.detection_fields.value 已映射到键为 is_synced 的检测字段。
local target.asset.iptarget.iptarget.port 会被解析以提取本地 IP 和端口,并映射到目标 IP、目标资产 IP 和目标端口。
local_ip target.asset.iptarget.ip local 字段中提取,并映射到目标 IP 和目标素材资源 IP。
local_port target.port local 字段中提取,并映射到目标端口。
mac principal.mac 如果是有效的 MAC 地址,则映射到主 MAC 地址。
msg metadata.description 用作事件说明(如果有)。还会解析其他字段。
msg1 metadata.description 如果不存在 msg2,则用作事件说明。
msg2 sec_result.descriptionmetadata.event_typeextensions.auth.type 用作安全结果说明。如果该字段包含“opened for user”(为用户打开),则将事件类型设置为 USER_LOGIN,将身份验证类型设置为 MACHINE。如果包含“已为用户关闭”,则将事件类型设置为 USER_LOGOUT,将身份验证类型设置为 MACHINE
op metadata.product_event_type 用作商品事件类型(如果存在)。
pid principal.process.pid 直接映射。
port principal.port 直接映射。
prod_event_type metadata.product_event_type 用作商品事件类型(如果存在)。
res sec_result.summary 直接映射。
sec_description sec_result.descriptiontarget.urltarget.iptarget.asset.ipsec_result.action_details 会解析出目标网址、IP 地址、操作详情,并用作安全结果说明。
Server_ID target.resource.product_object_id 直接映射。
server principal.asset.ipprincipal.ipprincipal.port 会被解析以提取服务器 IP 和端口,并映射到主 IP、主资产 IP 和主端口。
server_ip principal.asset.ipprincipal.ip server 字段中提取,并映射到主 IP 和主资产 IP。
server_port principal.port server 字段中提取,并映射到主充电桩。
ses network.session_id 直接映射。
severity sec_result.severitymetadata.product_event_type 用于根据特定值确定安全结果严重程度和产品事件类型。
software principal.asset.software 直接映射。
softwareName software.name 直接映射。
Status sec_result.summary 如果不存在 res,则用作安全结果摘要。
subj principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 subj 的标签。
swVersion software.version 直接映射。
target_host target.hostnametarget.asset.hostname 直接映射到目标主机名和目标资产主机名。
target_ip target.asset.iptarget.ip 直接映射到目标 IP 和目标资产 IP。
target_url target.url 直接映射。
target_user_id target.user.userid 直接映射。
terminal principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 terminal 的标签。
tzknown sec_result.detection_fields.value 已映射到键为 tzknown 的检测字段。
uid principal.resource.attribute.labels.value 映射到 principal.resource.attribute.labels 中键值为 uid 的标签。
user principal.user.useridmetadata.event_type 用作主要用户 ID。如果存在 user,则 metadata.event_type 设置为 USER_UNCATEGORIZED
username target.user.userid 直接映射到目标用户 ID。
不适用 metadata.vendor_name 已硬编码为“Dell”。
不适用 metadata.product_name 已硬编码为“Dell Switch”。
不适用 extensions.auth.type 对于特定的登录/退出登录事件,请将其设置为 MACHINE
不适用 metadata.event_type 由基于各种字段和条件的复杂逻辑确定,如果未另行设置,则默认为 GENERIC_EVENT。可以是 USER_LOGINUSER_LOGOUTUSER_UNCATEGORIZEDNETWORK_CONNECTIONNETWORK_UNCATEGORIZEDSTATUS_UPDATEGENERIC_EVENT

更改

2024-04-25

  • 添加了 Grok 模式来解析新日志类型。
  • op 映射到 metadata.product_event_type
  • mac 映射到 principal.mac
  • addr 映射到 principal.ip
  • hostname 映射到 principal.ip
  • server_ip 映射到 principal.ip
  • server_port 映射到 principal.port
  • acct 映射到 principal.user.userid
  • target_ip 映射到 target.ip
  • local_ip 映射到 target.ip
  • local_port 映射到 target.port
  • File 映射到 target.file.full_path
  • target_host 映射到 target.hostname
  • target_user_id 映射到 target.user.userid
  • Server_ID 映射到 target.resource.product_object_id
  • tzknownis_syncedexe 映射到 security_result.detection_fields
  • res 映射到 security_result.summary
  • 如果字段 res 的值为“”,则将 status 映射到 security_result.summary
  • uidenterpriseIdauidterminalsubjgrantorsID 映射到 principal.resource.attribute.labels

2024-04-04

  • 添加了 Grok 模式来解析新日志类型。
  • prod_event_type 映射到 metadata.product_event_type
  • ip 映射到 principal.ip
  • dest_ip 映射到 target.ip
  • target_url 映射到 target.url
  • sec_description 映射到 security_result.description
  • action_details 映射到 security_result.action_details

2024-01-04

  • 为新提取的日志添加了 Grok 模式。
  • datetime 采用 SYSLOGTIMESTAMP 格式时添加了日期块。
  • softwareName 映射到 principal.asset.software.name
  • swVersion 映射到 principal.asset.software.version
  • port 映射到 principal_port
  • user 映射到 principal.user.userid,并在存在 user 时将 metadata.event_type 设置为 USER_UNCATEGORIZED
  • application 映射到 principal.application
  • ip 映射到 principal.ip
  • severityIFMGR-5-OSTATE_DN 时,将 sec_result.severity 设置为 INFORMATIONAL
  • msg 映射到 metadata.description

2023-11-02

  • 新创建的解析器。