Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log dello switch Alcatel

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log degli switch Alcatel in Google Security Operations utilizzando l'agente Bindplane.

Alcatel-Lucent Enterprise OmniSwitch è una famiglia di switch LAN impilabili che forniscono accesso alla rete, applicazione delle norme di sicurezza e gestione unificata cablata/wireless. Gli switch generano messaggi syslog che coprono eventi di autenticazione, modifiche dello stato dell'interfaccia, operazioni VLAN e comandi CLI.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e lo switch Alcatel
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Credenziali privilegiate per lo switch Alcatel (accesso amministratore)

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/alcatel_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ALCATEL_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/alcatel_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/alcatel_switch

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'esportazione di syslog sullo switch Alcatel

Connettiti allo switch utilizzando SSH o un cavo di console.
Accedi con le credenziali amministratore.
Attiva la modalità di configurazione globale:
```
enable
configure terminal
```
Imposta l'indirizzo IP del server Bindplane (syslog):
```
swlog output socket <BINDPLANE_IP>
```
- Sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane.
Nota: per impostazione predefinita, lo switch utilizza la porta UDP 514 per la comunicazione syslog.
Abilita il logging sul server syslog:
```
swlog remote enable
```
Configura il livello di logging:
```
swlog console level info
```
Abilita il logging dei comandi:
```
command-log enable
```
Salva le modifiche alla configurazione di avvio:
```
write memory
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`1.1.1.1`	`principal.ipprincipal.asset.ip`	Estratto dal messaggio di log.
`1.1.1.2`	`target.iptarget.asset.ip`	Estratto dal messaggio di log.
`1.1.2.7`	`target.iptarget.asset.ip`	Estratto dal messaggio di log.
`1035`	`target.port`	Estratto dal messaggio di log.
`2266`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `vlan`.
`3036`	`principal.port`	Estratto dal messaggio di log.
`59300`	`target.port`	Estratto dal messaggio di log.
`60588`	`target.port`	Estratto dal messaggio di log.
`997`	`principal.resource.attribute.labels.value`	Estratto dal messaggio di log e mappato come `limit`.
`A6450-L2-K4B-01`	`principal.application`	Estratto dal messaggio di log.
`A6450-L2-X1B-02-01`	`principal.application`	Estratto dal messaggio di log.
`A6450-L2-X2A-01-01`	`principal.application`	Estratto dal messaggio di log.
`A6450-L2-X4B-02-01`	`principal.application`	Estratto dal messaggio di log.
`A6900-L3-LTX0A`	`principal.application`	Estratto dal messaggio di log.
`Accepted keyboard-interactive/pam`	`security_result.summary`	Parte del campo `sec_summary` estratto.
`b8:53:ac:6e:c9:bc`	`principal.mac`	Estratto dal messaggio di log.
`BRIDGE(10)`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `id_protocol`.
`CLI log,`	`security_result.summary`	Parte del campo `sec_summary` estratto.
`cmd: show configuration snapshot all,`	`security_result.detection_fields.value`	Estratto dal messaggio di log e mappato come `cmd`.
`Connection reset by 1.1.2.7 port 60505`	`security_result.summary`	Estratto dal messaggio di log.
`Dec 7 14:28:40`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 8 04:21:22`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 9 20:08:29`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 9 20:51:34`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 11 10:18:30`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 17 02:14:22`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Dec 19 10:27:33`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Did not receive identification string from 1.1.2.7 port 60588`	`security_result.summary`	Estratto dal messaggio di log.
`esmSetRateLimit: Txing`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `esm_set_rate_limit`.
`Feb 15 16:29:29`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Feb 16 11:08:45`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`Feb 16 11:08:49`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`flashManager FlashMgr Main info(5) flashMgrValidateImage_exec: valid`	`security_result.summary`	Estratto dal messaggio di log.
`for ncmadmin from 1.1.1.2 port 59300 ssh2`	`security_result.summary`	Parte del campo `sec_summary` estratto.
`from port 3036 to port 1035`	`security_result.summary`	Parte del campo `sec_summary` estratto.
`IVDELCSW03`	`principal.hostnameprincipal.asset.hostname`	Estratto dal messaggio di log quando `principal_ip` non è un indirizzo IP.
`IP-HELPER(22)`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `id_protocol`.
`Jan 16 02:14:13`	`metadata.event_timestamp.secondsmetadata.event_timestamp.nanos`	Analizzato dal campo `ts`.
`LLDP(42)`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `id_protocol`.
`limit=997,`	`principal.resource.attribute.labels.value`	Estratto dal messaggio di log e mappato come `limit`.
`limitType=1`	`principal.resource.attribute.labels.value`	Estratto dal messaggio di log e mappato come `limitType`.
`lldpProcessLocationIdTLV: Error, LLDP-MED Civic Address LCI len 39 invalid, tlvL`	`security_result.summary`	Estratto dal messaggio di log.
`Mac Movement for MacAddr: a0:29:19:c0:55:18`	`security_result.summary`	Estratto dal messaggio di log.
`MacAddr: a0:29:19:c0:55:18`	`principal.mac`	Estratto dal messaggio di log.
`ncmadmin`	`principal.user.userid`	Estratto dal messaggio di log.
`OS6360`	`principal.hostnameprincipal.asset.hostname`	Estratto dal messaggio di log quando `principal_ip` non è un indirizzo IP.
`result: SUCCESS`	`security_result.detection_fields.value`	Estratto dal messaggio di log e mappato come `result`.
`SES CMD info(5)`	`security_result.summary`	Parte di `sec_summaryfield` estratto.
`STACK-MANAGER`	`principal.application`	Estratto dal messaggio di log.
`Stack Port A MAC Frames TX/RX Enabled`	`security_result.summary`	Estratto dal messaggio di log.
`STP(11)`	`additional.fields.value.string_value`	Estratto dal messaggio di log e mappato come `id_protocol`.
`SWCONSOLE-L2-K0A-01`	`target.hostnametarget.asset.hostname`	Estratto dal messaggio di log.
`trafficType=2,`	`principal.resource.attribute.labels.value`	Estratto dal messaggio di log e mappato come tipo `traffic`.
`user: ncmadmin`	`security_result.summary`	Parte del campo `sec_summary` estratto.
`zslot=0,`	`principal.resource.attribute.labels.value`	Estratto dal messaggio di log e mappato come `zslot`.
`-`	`additional.fields.key`	Valore hardcoded: `id_protocol`
`-`	`additional.fields.key`	Valore hardcoded: `esm_set_rate_limit`
`-`	`additional.fields.key`	Valore hardcoded: `vlan`
`-`	`metadata.event_type`	Imposta su `GENERIC_EVENT` se non viene trovata corrispondenza con nessun altro tipo.
`-`	`metadata.product_name`	Valore hardcoded: `Alcatel Switch`
`-`	`metadata.vendor_name`	Valore hardcoded: `ALCATEL SWITCH`
`-`	`network.application_protocol`	Imposta su `SSH` quando `id_protocol` corrisponde a `ssh` (senza distinzione tra maiuscole e minuscole).
`-`	`principal.resource.attribute.labels.key`	Valore hardcoded: `limit`
`-`	`principal.resource.attribute.labels.key`	Valore hardcoded: `trafficType`
`-`	`principal.resource.attribute.labels.key`	Valore hardcoded: `limitType`
`-`	`principal.resource.attribute.labels.key`	Valore hardcoded: `zslot`
`-`	`security_result.detection_fields.key`	Valore hardcoded: `cmd`
`-`	`security_result.detection_fields.key`	Valore hardcoded: `result`
`-`	`security_result.severity`	Imposta su `INFORMATIONAL` quando `prod_severity` corrisponde a `info` (senza distinzione tra maiuscole e minuscole).

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.