Recopila registros de BigCloudFabric de Big Switch

Compatible con:

En este documento, se explica cómo transferir registros de Big Switch BigCloudFabric a las Operaciones de seguridad de Google con el agente de Bindplane.

Big Cloud Fabric (BCF) de Arista Networks, ahora conocido como Converged Cloud Fabric (CCF), es una solución de red definida por software (SDN) que proporciona administración automatizada de la estructura del centro de datos a través de un controlador centralizado. El controlador de BCF/CCF administra las arquitecturas de red de hoja y spine, y proporciona capacidades centralizadas de configuración, supervisión y solución de problemas para las redes de centros de datos empresariales. Este producto fue desarrollado originalmente por Big Switch Networks antes de ser adquirido por Arista Networks.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y el controlador de BCF/CCF
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso administrativo al controlador de BCF/CCF a través de la GUI o la CLI
  • Versión 2.5 o posterior del controlador de BCF/CCF (para la compatibilidad con syslog)

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

  4. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.

  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el comando siguiente:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sc query observiq-otel-collector

    El servicio debe mostrarse como RUNNING.

Instalación en Linux

  1. Abre una terminal con privilegios de administrador o sudo.

  2. Ejecuta el comando siguiente:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Espera a que se complete la instalación.

  4. Ejecute el siguiente comando para verificar la instalación:

    sudo systemctl status observiq-otel-collector

    El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  1. Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • El receptor está configurado para escuchar en el puerto UDP 514 los mensajes de syslog del controlador de BCF/CCF.
      • Para usar un puerto diferente, cambia 514 por el número de puerto que desees (por ejemplo, 1514 para instalaciones de Linux sin privilegios).

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Reemplaza con tu Customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.

      • endpoint: URL del extremo regional:

        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.

      • log_type: Establecer en BIGSWITCH_BCF (no cambiar)

      • ingestion_labels: Etiquetas opcionales para categorizar registros (personaliza según sea necesario)

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

  • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
  • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

    1. Ejecuta el comando siguiente:

      sudo systemctl restart observiq-otel-collector

    2. Verifica que el servicio esté en ejecución:

      sudo systemctl status observiq-otel-collector

    3. Revisa los registros en busca de errores:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

    1. Elige una de las siguientes opciones:

      • Símbolo del sistema o PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Consola de Services:

        1. Presiona Win+R, escribe services.msc y presiona Intro.
        2. Busca observIQ OpenTelemetry Collector.
        3. Haz clic con el botón derecho y selecciona Reiniciar.

    2. Verifica que el servicio esté en ejecución:

      sc query observiq-otel-collector

    3. Revisa los registros en busca de errores:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog de Big Switch BigCloudFabric

Configura el controlador de BCF/CCF para que reenvíe mensajes de syslog al agente de Bindplane con el método de la GUI o de la CLI.

Método 1: Configura syslog con la GUI

  1. Accede a la interfaz web del controlador de BCF/CCF con tus credenciales de administrador.
  2. Ve a Mantenimiento > Logging.
  3. Haz clic en la pestaña Remote Logging.
  4. Haz clic en Agregar para crear una nueva configuración del servidor syslog remoto.
  5. Proporciona los siguientes detalles de configuración:
    • Servidor: Ingresa la dirección IP del host del agente de BindPlane (por ejemplo, 192.168.1.100).
    • Puerto: Ingresa 514 (o el puerto configurado en el archivo config.yaml del agente de BindPlane).
    • Protocolo: Selecciona UDP.
  6. Haz clic en Guardar o Aplicar para guardar la configuración.
  7. Verifica que la configuración aparezca en la lista de Remote Logging.

Método 2: Configura syslog con la CLI

  1. Conéctate al controlador de BCF/CCF a través de SSH con tus credenciales de administrador.

  2. Ingresa al modo de habilitación:

    controller-1> enable

  3. Ingresa al modo de configuración:

    controller-1# configure

  4. Configura el servidor syslog remoto:

    controller-1(config)# logging remote 192.168.1.100

    Reemplaza 192.168.1.100 por la dirección IP del host del agente de Bindplane.

  5. Salir del modo de configuración:

    controller-1(config)# exit

  6. Verifica la configuración de syslog:

    controller-1# show logging

    El resultado debería mostrar la dirección IP del servidor syslog remoto configurado.

Verifica el reenvío de registros

  1. Genera eventos de registro de prueba en el controlador de BCF/CCF realizando cambios en la configuración o viendo el estado del sistema.

  2. Verifica los registros del agente de Bindplane para confirmar que se reciben los mensajes de syslog:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Accede a la consola de Google SecOps y verifica que los registros aparezcan en la interfaz de Search con la etiqueta de transferencia BIGSWITCH_BCF.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
descripción metadata.description Valor copiado directamente, con los espacios iniciales y finales quitados
target_host, time, product_event_type, description, application metadata.event_type Se establece en STATUS_HEARTBEAT si target_host y time no están vacíos; SERVICE_STOP si product_event_type == PORT_DOWN; SERVICE_START si description coincide con ".Running job." o product_event_type == PORT_UP o application == snmpd-execstart; STATUS_SHUTDOWN si description coincide con ".status down."; SERVICE_DELETION si product_event_type == Removing Endpoint; SERVICE_CREATION si product_event_type == Adding Endpoint; SERVICE_MODIFICATION si product_event_type == Moving Endpoint o la descripción coincide con ".change instances."; NETWORK_CONNECTION si target_host no está vacío; de lo contrario, GENERIC_EVENT
product_event_type metadata.product_event_type Valor copiado directamente
application_protocol network.application_protocol Se establece en "UNKNOWN_APPLICATION_PROTOCOL" si application_protocol == "lldpa"
host principal.hostname Valor copiado directamente
ip principal.ip Valor copiado directamente
process_id principal.process.pid Valor copiado directamente
USUARIO principal.user.userid Valor copiado directamente
log_level security_result Objeto con gravedad establecida en INFORMATIONAL si es INFO, MEDIUM si es WARN y HIGH si es ERROR; acción establecida en ALLOW si es INFO o WARN, y BLOCK si es ERROR
aplicación target.application Valor copiado directamente
target_host target.hostname Valor copiado directamente
puerto target.port Se convirtió a número entero
COMMAND target.process.command_line Valor copiado directamente
product_specific_id target.process.product_specific_process_id Prefijo "Bigswitch:"
kv_1, kv2, kv3 target.user.group_identifiers Se combina de kv_1 si no está vacío, kv2 si no está vacío, kv3 si no está vacío
metadata.product_name Se establece en "Big Cloud Fabric".
metadata.vendor_name Se estableció en "Big Switch".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.