此页面由 Cloud Translation API 翻译。

收集 Dell 交换机日志

支持的平台：

Google SecOps SIEM

此解析器会提取 Dell 交换机日志、标准化时间戳，并使用 Grok 模式将日志消息构建为键值对。然后，它会将这些提取的字段映射到 Unified Data Model (UDM)，处理各种日志格式，并使用资产详情和安全严重性等上下文信息丰富数据。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了带有 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您已建立有效的连接，并拥有 Dell 交换机的管理凭据。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane Agent

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，则位于安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构中的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

在 Linux 中，如需重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如需重启 Bindplane Agent，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置从 Dell 交换机导出 Syslog

使用 SSH 或控制台端口连接到 Dell 交换机。
使用管理员凭据登录。
使用以下命令指定 syslog 服务器的 IP 地址或主机名（将 <syslog_server_ip>、<udp|tcp> 和 <syslog-port-number> 替换为实际详细信息）：
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
可选：为要发送到 syslog 服务器的消息定义最低严重级别。例如，如需记录信息消息及更高级别的消息，请执行以下操作：
```
logging level informational
```
将运行配置保存到启动配置，以确保更改在重新启动后保持不变：
```
copy running-config startup-config
```
保存配置：
```
write memory
```

UDM 映射表

日志字段	UDM 映射	逻辑
`acct`	`principal.user.userid`	如果 `user` 字段不存在，则用作 `userid`。
`addr`	`principal.asset.ip`、`principal.ip`	会解析为 IP 地址，如果是有效 IP 地址且不同于主机名，则用于正文的 IP 地址和资产 IP 地址。
`application`	`principal.application`	直接映射。
`asset`	`principal.asset.attribute.labels.value`	直接映射到资产标签值，其中键硬编码为“资产名称”。如果资产字段为空且消息包含“Dell”，则将资产设置为“Dell”。
`auid`	`principal.resource.attribute.labels.value`	直接映射到 `principal.resource.attribute.labels` 中键值为 `auid` 的标签。
`datetime`	`metadata.event_timestamp`	从消息字段中的各种格式解析并转换为时间戳。
`dest_ip`	`target.asset.ip`、`target.ip`	已映射到目标 IP 和目标资产 IP。
`enterpriseId`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `enterpriseId` 的标签。
`exe`	`sec_result.detection_fields.value`	已映射到键为 `exe` 的检测字段。
`File`	`target.file.full_path`	直接映射。
`grantors`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `grantors` 的标签。
`host`	`principal.hostname`、`principal.asset.hostname`、`metadata.event_type`	用作主主机名和资产主机名。如果存在 `host`，则 `metadata.event_type` 设置为 `STATUS_UPDATE`。如果存在主机名但不存在主机，则将主机名用作主机。
`hostname`	`principal.asset.ip`、`principal.ip`、`host`	如果是有效 IP，则用于主 IP 和资产 IP。如果 `host` 为空，则将其用作 `host`。
`ID`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `ID` 的标签。
`ip`	`principal.asset.ip`、`principal.ip`	已映射到主 IP 和资产 IP。
`is_synced`	`sec_result.detection_fields.value`	已映射到键为 `is_synced` 的检测字段。
`local`	`target.asset.ip`、`target.ip`、`target.port`	经过解析以提取本地 IP 和端口，并映射到目标 IP、目标资产 IP 和目标端口。
`local_ip`	`target.asset.ip`、`target.ip`	从 `local` 字段中提取，并映射到目标 IP 和目标素材资源 IP。
`local_port`	`target.port`	从 `local` 字段中提取，并映射到目标端口。
`mac`	`principal.mac`	如果是有效的 MAC 地址，则映射到主 MAC 地址。
`msg`	`metadata.description`	用作事件说明（如果有）。还会解析其他字段。
`msg1`	`metadata.description`	如果不存在 `msg2`，则用作事件说明。
`msg2`	`sec_result.description`、`metadata.event_type`、`extensions.auth.type`	用作安全结果说明。如果该字段包含“opened for user”（为用户打开），则将事件类型设置为 `USER_LOGIN`，将身份验证类型设置为 `MACHINE`。如果包含“已为用户关闭”，则将事件类型设置为 `USER_LOGOUT`，将身份验证类型设置为 `MACHINE`。
`op`	`metadata.product_event_type`	用作商品事件类型（如果存在）。
`pid`	`principal.process.pid`	直接映射。
`port`	`principal.port`	直接映射。
`prod_event_type`	`metadata.product_event_type`	用作商品事件类型（如果存在）。
`res`	`sec_result.summary`	直接映射。
`sec_description`	`sec_result.description`、`target.url`、`target.ip`、`target.asset.ip`、`sec_result.action_details`	会解析出目标网址、IP 地址、操作详情，并用作安全结果说明。
`Server_ID`	`target.resource.product_object_id`	直接映射。
`server`	`principal.asset.ip`、`principal.ip`、`principal.port`	会被解析以提取服务器 IP 和端口，并映射到主 IP、主资产 IP 和主端口。
`server_ip`	`principal.asset.ip`、`principal.ip`	从 `server` 字段中提取，并映射到主 IP 和主资产 IP。
`server_port`	`principal.port`	从 `server` 字段中提取，并映射到主充电桩。
`ses`	`network.session_id`	直接映射。
`severity`	`sec_result.severity`、`metadata.product_event_type`	用于根据特定值确定安全结果严重程度和产品事件类型。
`software`	`principal.asset.software`	直接映射。
`softwareName`	`software.name`	直接映射。
`Status`	`sec_result.summary`	如果不存在 `res`，则用作安全结果摘要。
`subj`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `subj` 的标签。
`swVersion`	`software.version`	直接映射。
`target_host`	`target.hostname`、`target.asset.hostname`	直接映射到目标主机名和目标资产主机名。
`target_ip`	`target.asset.ip`、`target.ip`	直接映射到目标 IP 和目标资产 IP。
`target_url`	`target.url`	直接映射。
`target_user_id`	`target.user.userid`	直接映射。
`terminal`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `terminal` 的标签。
`tzknown`	`sec_result.detection_fields.value`	已映射到键为 `tzknown` 的检测字段。
`uid`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键值为 `uid` 的标签。
`user`	`principal.user.userid`、`metadata.event_type`	用作主要用户 ID。如果存在 `user`，则 `metadata.event_type` 设置为 `USER_UNCATEGORIZED`。
`username`	`target.user.userid`	直接映射到目标用户 ID。
不适用	`metadata.vendor_name`	已硬编码为“Dell”。
不适用	`metadata.product_name`	已硬编码为“Dell Switch”。
不适用	`extensions.auth.type`	对于特定的登录/退出登录事件，请将其设置为 `MACHINE`。
不适用	`metadata.event_type`	由基于各种字段和条件的复杂逻辑确定，如果未另行设置，则默认为 `GENERIC_EVENT`。可以是 `USER_LOGIN`、`USER_LOGOUT`、`USER_UNCATEGORIZED`、`NETWORK_CONNECTION`、`NETWORK_UNCATEGORIZED`、`STATUS_UPDATE` 或 `GENERIC_EVENT`。

变化

2024-04-25

添加了 Grok 模式来解析新日志类型。
将 op 映射到 metadata.product_event_type。
将 mac 映射到 principal.mac。
将 addr 映射到 principal.ip。
将 hostname 映射到 principal.ip。
将 server_ip 映射到 principal.ip。
将 server_port 映射到 principal.port。
将 acct 映射到 principal.user.userid。
将 target_ip 映射到 target.ip。
将 local_ip 映射到 target.ip。
将 local_port 映射到 target.port。
将 File 映射到 target.file.full_path。
将 target_host 映射到 target.hostname。
将 target_user_id 映射到 target.user.userid。
将 Server_ID 映射到 target.resource.product_object_id。
将 tzknown、is_synced 和 exe 映射到 security_result.detection_fields。
将 res 映射到 security_result.summary。
如果字段 res 的值为“”，则将 status 映射到 security_result.summary。
将 uid、enterpriseId、auid、terminal、subj、grantors 和 ID 映射到 principal.resource.attribute.labels。

2024-04-04

添加了 Grok 模式来解析新日志类型。
将 prod_event_type 映射到 metadata.product_event_type。
将 ip 映射到 principal.ip。
将 dest_ip 映射到 target.ip。
将 target_url 映射到 target.url。
将 sec_description 映射到 security_result.description。
将 action_details 映射到 security_result.action_details。

2024-01-04

为新提取的日志添加了 Grok 模式。
在 datetime 采用 SYSLOGTIMESTAMP 格式时添加了日期块。
将 softwareName 映射到 principal.asset.software.name。
将 swVersion 映射到 principal.asset.software.version。
将 port 映射到 principal_port。
将 user 映射到 principal.user.userid，并在存在 user 时将 metadata.event_type 设置为 USER_UNCATEGORIZED。
将 application 映射到 principal.application。
将 ip 映射到 principal.ip。
当 severity 为 IFMGR-5-OSTATE_DN 时，将 sec_result.severity 设置为 INFORMATIONAL。
将 msg 映射到 metadata.description。

2023-11-02

新创建的解析器。