收集 ADVA Fiber Service Platform 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 ADVA Fiber Service Platform (ADVA FSP) 記錄檔擷取至 Google Security Operations。剖析器會從交換器和路由器系統記錄訊息中擷取欄位,並轉換為鍵/值組合。接著,系統會將這些擷取的欄位及其值對應至 Chronicle UDM 結構定義中的相應欄位,以利豐富資料內容,進行安全性分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 搭載
systemd的 Windows 2012 SP2 以上版本或 Linux 主機 - 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
- ADVA FSP 裝置管理控制台的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
安裝 Linux
- 開啟具備根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
編輯
config.yaml檔案。以下是兩個可用的接收器選項,請選擇與裝置傳送記錄的方式相符的選項:- 選項 A - UDP 記錄接收器 (簡單 UDP)
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com log_type: 'ADVA_FSP' raw_log_field: body ingestion_labels: service: pipelines: logs/adva-fsp: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 選項 B - Syslog 接收器 (建議用於嚴格的 Syslog 框架)
receivers: syslog: tcp: listen_address: "0.0.0.0:514" protocol: rfc5424 # or rfc3164 if your device uses BSD syslog exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com log_type: 'ADVA_FSP' raw_log_field: body ingestion_labels: source: 'adva-fsp' env: 'production' service: pipelines: logs/adva-fsp: receivers: - syslog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent在 ADVA FSP 上設定 Syslog 轉送
- 登入 ADVA FSP 管理主控台。
- 依序前往「節點」>「一般」>「控制項」。
- 在「Remote Event Recipients (SysLog)」(遠端事件收件者 (SysLog)) 部分中,按一下「新增」。
- 請提供下列設定詳細資料:
- IPv4/v6 位址:輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號 (例如
514)。 - 通訊協定:根據實際的 Bindplane 代理程式設定,選取「UDP」或「TCP」。
- 訊息擴充功能:選用:按一下「新增使用者標籤」,在訊息中加入其他 ID。
- 按一下「儲存」,啟用設定。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| ACCESSORDER | additional.fields.value.string_value | 這個值取自原始記錄中的 ACCESSORDER 欄位。 |
| 地址 | principal.ip | 這個值取自原始記錄中的 ADDRESS 欄位,並剖析為 IP 位址。 |
| ADMINSTATE | additional.fields.value.string_value | 這個值取自原始記錄中的 ADMINSTATE 欄位。 |
| AISCLIENTMDLEVEL | additional.fields.value.string_value | 這個值取自原始記錄中的 AISCLIENTMDLEVEL 欄位。 |
| AISGENENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 AISGENENABLED 欄位。 |
| AISPRIORITY | additional.fields.value.string_value | 這個值取自原始記錄中的 AISPRIORITY 欄位。 |
| AISTXPERIOD | additional.fields.value.string_value | 這個值取自原始記錄中的 AISTXPERIOD 欄位。 |
| AISTRIGGERTYPES | additional.fields.value.string_value | 這個值取自原始記錄中的 AISTRIGGERTYPES 欄位。 |
| BUFFERSIZE | additional.fields.value.string_value | 這個值取自原始記錄中的 BUFFERSIZE 欄位。 |
| CCIENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 CCIENABLED 欄位。 |
| CCMINTERFACESTATUSTLVCONTROL | additional.fields.value.string_value | 這個值取自原始記錄中的 CCMINTERFACESTATUSTLVCONTROL 欄位。 |
| CCMLTMPRIORITY | additional.fields.value.string_value | 這個值取自原始記錄中的 CCMLTMPRIORITY 欄位。 |
| CFMTAGETHERTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 CFMTAGETHERTYPE 欄位。 |
| CIR | additional.fields.value.string_value | 這個值取自原始記錄中的 CIR 欄位。 |
| COS | additional.fields.value.string_value | 這個值取自原始記錄中的 COS 欄位。 |
| CT | metadata.description | 這個值取自原始記錄中的 CT 欄位。 |
| DESTBMAC | target.mac | 這個值取自原始記錄中的 DESTBMAC 欄位,並剖析為 MAC 位址。 |
| DHCPCIDENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPCIDENABLED 欄位。 |
| DHCPENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPENABLED 欄位。 |
| DHCPHOSTNAME | network.dhcp.client_hostname | 這個值取自原始記錄中的 DHCPHOSTNAME 欄位。 |
| DHCPHOSTNAMEENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPHOSTNAMEENABLED 欄位。 |
| DHCPHOSTNAMETYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPHOSTNAMETYPE 欄位。 |
| DHCPLOGSERVERENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPLOGSERVERENABLED 欄位。 |
| DHCPNTPSERVERENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPNTPSERVERENABLED 欄位。 |
| DHCPV6CIDENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPV6CIDENABLED 欄位。 |
| DHCPV6ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPV6ENABLED 欄位。 |
| DHCPV6ROLE | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPV6ROLE 欄位。 |
| DHCPVENDORINFOTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 DHCPVENDORINFOTYPE 欄位。 |
| DIR | additional.fields.value.string_value | 這個值取自原始記錄中的 DIR 欄位。 |
| 方向 | network.direction | 如果原始記錄中的 DIRECTION 欄位為「UP」(不區分大小寫),則值會設為「OUTBOUND」;如果為「DOWN」,則值會設為「INBOUND」;否則值會留空。 |
| ENCAPSULATIONTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 ENCAPSULATIONTYPE 欄位。 |
| GUARANTEEDA2NBW | additional.fields.value.string_value | 這個值取自原始記錄中的 GUARANTEEDA2NBW 欄位。 |
| HCOSMGMTENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 HCOSMGMTENABLED 欄位。 |
| INT | additional.fields.value.string_value | 這個值取自原始記錄中的 INT 欄位。 |
| IPMODE | additional.fields.value.string_value | 這個值取自原始記錄中的 IPMODE 欄位。 |
| IPV6ADDR | principal.ip | 這個值取自原始記錄中的 IPV6ADDR 欄位,並剖析為 IP 位址。 |
| IPV6ADDRPREFIXLENGTH | additional.fields.value.string_value | 這個值取自原始記錄中的 IPV6ADDRPREFIXLENGTH 欄位。 |
| IPV6MTU | additional.fields.value.string_value | 這個值取自原始記錄中的 IPV6MTU 欄位。 |
| ITAG | additional.fields.value.string_value | 這個值取自原始記錄中的 ITAG 欄位。 |
| ITAGENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 ITAGENABLED 欄位。 |
| LBMTXDESTTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 LBMTXDESTTYPE 欄位。 |
| LBMTXNUMMSGS | additional.fields.value.string_value | 這個值取自原始記錄中的 LBMTXNUMMSGS 欄位。 |
| LBMTXVLANDROPENABLE | additional.fields.value.string_value | 這個值取自原始記錄中的 LBMTXVLANDROPENABLE 欄位。 |
| LBMTXVLANPRIORITY | additional.fields.value.string_value | 這個值取自原始記錄中的 LBMTXVLANPRIORITY 欄位。 |
| LLRESPONDERENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LLRESPONDERENABLED 欄位。 |
| LLVIDLIST | additional.fields.value.string_value | 這個值取自原始記錄中的 LLVIDLIST 欄位。 |
| LMDUALENDEDCOUNTALLPRIOS | additional.fields.value.string_value | 這個值取自原始記錄中的 LMDUALENDEDCOUNTALLPRIOS 欄位。 |
| LMINPROFILEONLY | additional.fields.value.string_value | 這個值取自原始記錄中的 LMINPROFILEONLY 欄位。 |
| LMRXCOUNTALLPRIOS | additional.fields.value.string_value | 這個值取自原始記錄中的 LMRXCOUNTALLPRIOS 欄位。 |
| LMTXCOUNTALLPRIOS | additional.fields.value.string_value | 這個值取自原始記錄中的 LMTXCOUNTALLPRIOS 欄位。 |
| LOC | additional.fields.value.string_value | 這個值取自原始記錄中的 LOC 欄位。 |
| LOCN | additional.fields.value.string_value | 這個值取自原始記錄中的 LOCN 欄位。 |
| LOGINTIMEOUT | additional.fields.value.string_value | 這個值取自原始記錄中的 LOGINTIMEOUT 欄位。 |
| LOOPBACKBLOCKINGENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKBLOCKINGENABLED 欄位。 |
| LOOPBACKCONFIG | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKCONFIG 欄位。 |
| LOOPBACKDESTMAC | target.mac | 這個值取自原始記錄中的 LOOPBACKDESTMAC 欄位,並剖析為 MAC 位址。 |
| LOOPBACKDESTMACCONTROL | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKDESTMACCONTROL 欄位。 |
| LOOPBACKINNERVLAN1 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN1 欄位。 |
| LOOPBACKINNERVLAN1ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN1ENABLED 欄位。 |
| LOOPBACKINNERVLAN2 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN2 欄位。 |
| LOOPBACKINNERVLAN2ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN2ENABLED 欄位。 |
| LOOPBACKINNERVLAN3 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN3 欄位。 |
| LOOPBACKINNERVLAN3ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKINNERVLAN3ENABLED 欄位。 |
| LOOPBACKOUTERITAG1 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG1 欄位。 |
| LOOPBACKOUTERITAG1ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG1ENABLED 欄位。 |
| LOOPBACKOUTERITAG2 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG2 欄位。 |
| LOOPBACKOUTERITAG2ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG2ENABLED 欄位。 |
| LOOPBACKOUTERITAG3 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG3 欄位。 |
| LOOPBACKOUTERITAG3ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERITAG3ENABLED 欄位。 |
| LOOPBACKOUTERVLAN1 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN1 欄位。 |
| LOOPBACKOUTERVLAN1ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN1ENABLED 欄位。 |
| LOOPBACKOUTERVLAN2 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN2 欄位。 |
| LOOPBACKOUTERVLAN2ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN2ENABLED 欄位。 |
| LOOPBACKOUTERVLAN3 | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN3 欄位。 |
| LOOPBACKOUTERVLAN3ENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKOUTERVLAN3ENABLED 欄位。 |
| LOOPBACKSOURCEMAC | principal.mac | 這個值取自原始記錄中的 LOOPBACKSOURCEMAC 欄位,並剖析為 MAC 位址。 |
| LOOPBACKSWAPSADA | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKSWAPSADA 欄位。 |
| LOOPBACKTIMER | additional.fields.value.string_value | 這個值取自原始記錄中的 LOOPBACKTIMER 欄位。 |
| LOWESTPRIODEFECT | additional.fields.value.string_value | 這個值取自原始記錄中的 LOWESTPRIODEFECT 欄位。 |
| LTMTXDESTTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 LTMTXDESTTYPE 欄位。 |
| LTMTXEGRESSID | metadata.product_log_id | 這個值取自原始記錄中的 LTMTXEGRESSID 欄位。 |
| LTMTXFLAGS | additional.fields.value.string_value | 這個值取自原始記錄中的 LTMTXFLAGS 欄位。 |
| LTMTXTTL | additional.fields.value.string_value | 這個值取自原始記錄中的 LTMTXTTL 欄位。 |
| MT | additional.fields.value.string_value | 這個值取自原始記錄中的 MT 欄位。 |
| MAXIMUMA2NBW | additional.fields.value.string_value | 這個值取自原始記錄中的 MAXIMUMA2NBW 欄位。 |
| MVAL | additional.fields.value.string_value | 這個值取自原始記錄中的 MVAL 欄位。 |
| 名稱 | additional.fields.value.string_value | 這個值取自原始記錄中的「NAME」欄位。 |
| NC | additional.fields.value.string_value | 這個值取自原始記錄中的 NC 欄位。 |
| PORTEID | additional.fields.value.string_value | 這個值取自原始記錄中的 PORTEID 欄位。 |
| PORTLLENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 PORTLLENABLED 欄位。 |
| PRIMARYSERVER | target.ip | 這個值取自原始記錄中的 PRIMARYSERVER 欄位,並剖析為 IP 位址。 |
| PRIMARYVID | additional.fields.value.string_value | 這個值取自原始記錄中的 PRIMARYVID 欄位。 |
| QUEUEPROFILEID | additional.fields.value.string_value | 這個值取自原始記錄中的 QUEUEPROFILEID 欄位。 |
| RXSHAPEREID | additional.fields.value.string_value | 這個值取自原始記錄中的 RXSHAPEREID 欄位。 |
| SATRESPONDENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 SATRESPONDENABLED 欄位。 |
| SE | additional.fields.value.string_value | 這個值取自原始記錄中的 SE 欄位。 |
| SHAREDVIM | additional.fields.value.string_value | 這個值取自原始記錄中的 SHAREDVIM 欄位。 |
| SVLANENABLED | additional.fields.value.string_value | 這個值取自原始記錄中的 SVLANENABLED 欄位。 |
| SVLANID | additional.fields.value.string_value | 這個值取自原始記錄中的 SVLANID 欄位。 |
| SYSLOCATION | principal.location.country_or_region | 這個值取自原始記錄中的 SYSLOCATION 欄位。 |
| THVAL | additional.fields.value.string_value | 這個值取自原始記錄中的 THVAL 欄位。 |
| 類型 | additional.fields.value.string_value | 這個值取自原始記錄中的 TYPE 欄位。 |
| USERACCESSTYPE | additional.fields.value.string_value | 這個值取自原始記錄中的 USERACCESSTYPE 欄位。 |
| USERAUTHKEY | additional.fields.value.string_value | 這個值取自原始記錄中的 USERAUTHKEY 欄位。 |
| USERAUTHKEYLOCAL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERAUTHKEYLOCAL 欄位。 |
| USERAUTHPROTOCOL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERAUTHPROTOCOL 欄位。 |
| USERENGINEID | additional.fields.value.string_value | 這個值取自原始記錄中的 USERENGINEID 欄位。 |
| USERKEYSLOCAL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERKEYSLOCAL 欄位。 |
| 使用者名稱 | principal.user.userid | 這個值取自原始記錄中的 USERNAME 欄位。 |
| USERPRIVKEY | additional.fields.value.string_value | 這個值取自原始記錄中的 USERPRIVKEY 欄位。 |
| USERPRIVKEYLOCAL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERPRIVKEYLOCAL 欄位。 |
| USERPRIVPROTOCOL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERPRIVPROTOCOL 欄位。 |
| USERSECURITYLEVEL | additional.fields.value.string_value | 這個值取自原始記錄中的 USERSECURITYLEVEL 欄位。 |
| USERSECURITYNAME | principal.user.user_display_name | 這個值取自原始記錄中的 USERSECURITYNAME 欄位。 |
| 調度應用程式資源 | principal.application | 這個值取自 grok 剖析器擷取的應用程式欄位。 |
| 說明 | security_result.description | 這個值取自 grok 剖析器擷取的說明欄位。 |
| metadata.description | 如果原始記錄中的 CT 欄位為「Backup NTP Server Failed」,則值會設為「Backup NTP Server Failed」。 | |
| metadata.event_timestamp.seconds | 這個值取自 grok 剖析器擷取的時間戳記欄位,並轉換為 Epoch 秒數。 | |
| metadata.event_type | 系統會根據下列邏輯設定值: - NETWORK_DHCP (如果 network_dhcp_present 為 true,且 principal_present 或 target_present 為 true)。 - NETWORK_CONNECTION (如果 target_present 和 principal_present 皆為 true)。 - USER_RESOURCE_ACCESS (如果 user_present 為 true)。 - STATUS_UPDATE (如果 principal_present 為 true)。 - GENERIC_EVENT。 |
|
| metadata.product_log_id | 這個值取自原始記錄中的 LTMTXEGRESSID 欄位。 | |
| metadata.product_name | 值設為「ADVA_FSP」。 | |
| metadata.vendor_name | 值設為「ADVA_FSP」。 | |
| network.application_protocol | 如果 network_dhcp_present 為 true,且 principal_present 或 target_present 為 true,則值會設為「DHCP」。 | |
| principal.hostname | 這個值取自 grok 剖析器擷取的 principal_hostname 欄位,並移除底線。 | |
| principal.ip | 這個值取自原始記錄中的 IPADDR 欄位,並剖析為 IP 位址。 | |
| timestamp.seconds | 這個值取自 grok 剖析器擷取的時間戳記欄位,並轉換為 Epoch 秒數。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。