Collecter les journaux Big Switch BigCloudFabric

Compatible avec :

Ce document explique comment ingérer des journaux Big Switch BigCloudFabric dans Google Security Operations à l'aide de l'agent Bindplane.

Arista Networks Big Cloud Fabric (BCF), désormais appelé Converged Cloud Fabric (CCF), est une solution de réseau défini par logiciel (SDN) qui permet de gérer automatiquement le fabric du centre de données à l'aide d'un contrôleur centralisé. Le contrôleur BCF/CCF gère les architectures réseau leaf-spine, en fournissant des fonctionnalités de configuration, de surveillance et de dépannage centralisées pour les réseaux de centres de données d'entreprise. Ce produit a été initialement développé par Big Switch Networks avant d'être racheté par Arista Networks.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et le contrôleur BCF/CCF
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès administrateur au contrôleur BCF/CCF via l'interface utilisateur graphique ou la CLI
  • BCF/CCF Controller version 2.5 ou ultérieure (pour la compatibilité avec syslog)

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane doit être installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.

  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  1. Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • Le récepteur est configuré pour écouter sur le port UDP 514 les messages syslog provenant du contrôleur BCF/CCF.
      • Pour utiliser un autre port, remplacez 514 par le numéro de port souhaité (par exemple, 1514 pour les installations Linux non privilégiées).

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :

        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID : remplacez par votre Customer ID. Pour en savoir plus, consultez Obtenir l'ID client Google SecOps.

      • endpoint : URL du point de terminaison régional :

        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

      • log_type : définie sur BIGSWITCH_BCF (ne pas modifier)

      • ingestion_labels : libellés facultatifs pour catégoriser les journaux (personnalisez-les selon vos besoins)

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux :

    1. Exécutez la commande suivante :

      sudo systemctl restart observiq-otel-collector

    2. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    3. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane sous Windows :

    1. Choisissez l'une des options suivantes :

      • Invite de commandes ou PowerShell en tant qu'administrateur :

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console Services :

        1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
        2. Localisez observIQ OpenTelemetry Collector.
        3. Effectuez un clic droit, puis sélectionnez Redémarrer.

    2. Vérifiez que le service est en cours d'exécution :

      sc query observiq-otel-collector

    3. Recherchez les erreurs dans les journaux :

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog Big Switch BigCloudFabric

Configurez le contrôleur BCF/CCF pour qu'il transfère les messages syslog à l'agent Bindplane à l'aide de la méthode GUI ou CLI.

Méthode 1 : Configurer syslog à l'aide de l'interface utilisateur graphique

  1. Connectez-vous à l'interface Web du contrôleur BCF/CCF à l'aide de vos identifiants administrateur.
  2. Accédez à Maintenance > Journalisation.
  3. Cliquez sur l'onglet Journalisation à distance.
  4. Cliquez sur Ajouter pour créer une configuration de serveur syslog distant.
  5. Fournissez les informations de configuration suivantes :
    • Serveur : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
    • Port : saisissez 514 (ou le port configuré dans le fichier config.yaml de l'agent Bindplane).
    • Protocole : sélectionnez UDP.
  6. Cliquez sur Enregistrer ou Appliquer pour enregistrer la configuration.
  7. Vérifiez que la configuration apparaît dans la liste "Journalisation à distance".

Méthode 2 : Configurer syslog à l'aide de la CLI

  1. Connectez-vous au contrôleur BCF/CCF via SSH à l'aide de vos identifiants administrateur.

  2. Passez en mode activation :

    controller-1> enable

  3. Passez en mode configuration :

    controller-1# configure

  4. Configurez le serveur syslog distant :

    controller-1(config)# logging remote 192.168.1.100

    Remplacez 192.168.1.100 par l'adresse IP de l'hôte de l'agent Bindplane.

  5. Quittez le mode configuration :

    controller-1(config)# exit

  6. Vérifiez la configuration syslog :

    controller-1# show logging

    Le résultat doit afficher l'adresse IP du serveur syslog distant configuré.

Vérifier le transfert de journaux

  1. Générez des événements de journal de test sur le contrôleur BCF/CCF en modifiant la configuration ou en affichant l'état du système.

  2. Consultez les journaux de l'agent Bindplane pour vérifier que les messages syslog sont bien reçus :

    • Linux :

      sudo journalctl -u observiq-otel-collector -f

    • Windows :

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Connectez-vous à la console Google SecOps et vérifiez que les journaux s'affichent dans l'interface Rechercher avec le libellé d'ingestion BIGSWITCH_BCF.

Table de mappage UDM

Champ de journal Mappage UDM Logique
description metadata.description Valeur copiée directement, sans espaces de début ni de fin
target_host, time, product_event_type, description, application metadata.event_type Définissez sur STATUS_HEARTBEAT si target_host et time ne sont pas vides ; SERVICE_STOP si product_event_type == PORT_DOWN ; SERVICE_START si la description correspond à ".Running job." ou product_event_type == PORT_UP ou application == snmpd-execstart ; STATUS_SHUTDOWN si la description correspond à ".status down." ; SERVICE_DELETION si product_event_type == Removing Endpoint ; SERVICE_CREATION si product_event_type == Adding Endpoint ; SERVICE_MODIFICATION si product_event_type == Moving Endpoint ou si la description correspond à ".change instances." ; NETWORK_CONNECTION si target_host n'est pas vide ; sinon, GENERIC_EVENT
product_event_type metadata.product_event_type Valeur copiée directement
application_protocol network.application_protocol Définissez sur "UNKNOWN_APPLICATION_PROTOCOL" si application_protocol == "lldpa"
hôte principal.hostname Valeur copiée directement
ip principal.ip Valeur copiée directement
process_id principal.process.pid Valeur copiée directement
UTILISATEUR principal.user.userid Valeur copiée directement
log_level security_result Objet dont la gravité est définie sur "INFORMATIONAL" si la valeur est INFO, sur "MEDIUM" si la valeur est WARN et sur "HIGH" si la valeur est ERROR ; action définie sur "ALLOW" si la valeur est INFO ou WARN, et sur "BLOCK" si la valeur est ERROR
application target.application Valeur copiée directement
target_host target.hostname Valeur copiée directement
port target.port Converti en entier
COMMAND target.process.command_line Valeur copiée directement
product_specific_id target.process.product_specific_process_id Préfixe "Bigswitch:"
kv_1, kv2, kv3 target.user.group_identifiers Fusionné à partir de kv_1 s'il n'est pas vide, kv2 s'il n'est pas vide, kv3 s'il n'est pas vide
metadata.product_name Défini sur "Big Cloud Fabric"
metadata.vendor_name Défini sur "Big Switch"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.