Coletar registros do Big Switch BigCloudFabric
Este documento explica como ingerir registros do Big Switch BigCloudFabric no Google Security Operations usando o agente Bindplane.
A Big Cloud Fabric (BCF) da Arista Networks, agora conhecida como Converged Cloud Fabric (CCF), é uma solução de rede definida por software (SDN) que oferece gerenciamento automatizado de malha de data center por um controlador centralizado. O controlador BCF/CCF gerencia arquiteturas de rede leaf-spine, oferecendo recursos centralizados de configuração, monitoramento e solução de problemas para redes de data center corporativas. Esse produto foi desenvolvido originalmente pela Big Switch Networks antes de ser adquirido pela Arista Networks.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Conectividade de rede entre o agente do Bindplane e o controlador BCF/CCF
- Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
- Acesso administrativo ao controlador BCF/CCF por GUI ou CLI
- Controlador BCF/CCF versão 2.5 ou mais recente (para suporte a syslog)
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/bigswitch_bcf: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: BIGSWITCH_BCF raw_log_field: body ingestion_labels: env: production source: bcf_controller service: pipelines: logs/bcf_to_chronicle: receivers: - udplog exporters: - chronicle/bigswitch_bcfSubstitua os seguintes marcadores de posição:
Configuração do receptor:
- O receptor é configurado para escutar na porta UDP 514 mensagens syslog do controlador BCF/CCF.
- Para usar uma porta diferente, mude
514para o número da porta desejada (por exemplo,1514para instalações não privilegiadas do Linux).
Configuração do exportador:
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: substitua pelo seuCustomer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.endpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte a lista completa em Endpoints regionais.
- EUA:
log_type: definido comoBIGSWITCH_BCF(não mude)ingestion_labels: rótulos opcionais para categorizar registros (personalize conforme necessário)
Salve o arquivo de configuração.
Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O,EntereCtrl+X. - Windows: clique em Arquivo > Salvar.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux:
Execute este comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane em Windows:
Escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o Coletor do OpenTelemetry da observIQ.
- Clique com o botão direito do mouse e selecione Reiniciar.
- Pressione
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurar o encaminhamento de syslog do Big Switch BigCloudFabric
Configure o controlador BCF/CCF para encaminhar mensagens syslog ao agente Bindplane usando o método de GUI ou CLI.
Método 1: configurar o syslog usando a GUI
- Faça login na interface da Web do controlador BCF/CCF usando suas credenciais de administrador.
- Acesse Manutenção > Logging.
- Clique na guia Registro remoto.
- Clique em Adicionar para criar uma configuração de servidor syslog remoto.
- Informe os seguintes detalhes de configuração:
- Servidor: insira o endereço IP do host do agente do Bindplane (por exemplo,
192.168.1.100). - Porta: insira
514(ou a porta configurada no arquivo config.yaml do agente do Bindplane). - Protocolo: selecione UDP.
- Servidor: insira o endereço IP do host do agente do Bindplane (por exemplo,
- Clique em Salvar ou Aplicar para salvar a configuração.
- Verifique se a configuração aparece na lista de registros remotos.
Método 2: configurar o syslog usando a CLI
- Conecte-se ao controlador BCF/CCF por SSH usando suas credenciais de administrador.
Entre no modo de ativação:
controller-1> enableInsira o modo de configuração:
controller-1# configureConfigure o servidor syslog remoto:
controller-1(config)# logging remote 192.168.1.100Substitua
192.168.1.100pelo endereço IP do host do agente do Bindplane.Sair do modo de configuração:
controller-1(config)# exitVerifique a configuração do syslog:
controller-1# show loggingA saída precisa mostrar o endereço IP do servidor syslog remoto configurado.
Verificar o encaminhamento de registros
- Gere eventos de registro de teste no controlador BCF/CCF fazendo mudanças de configuração ou visualizando o status do sistema.
Verifique os registros do agente do Bindplane para confirmar se as mensagens do syslog estão sendo recebidas:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Faça login no console do Google SecOps e verifique se os registros estão aparecendo na interface Pesquisar com o rótulo de ingestão
BIGSWITCH_BCF.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| descrição | metadata.description | Valor copiado diretamente, com espaços à esquerda e à direita removidos |
| target_host, time, product_event_type, description, application | metadata.event_type | Definido como STATUS_HEARTBEAT se target_host e time não estiverem vazios; SERVICE_STOP se product_event_type == PORT_DOWN; SERVICE_START se description corresponder a ".Running job." ou product_event_type == PORT_UP ou application == snmpd-execstart; STATUS_SHUTDOWN se description corresponder a ".status down."; SERVICE_DELETION se product_event_type == Removing Endpoint; SERVICE_CREATION se product_event_type == Adding Endpoint; SERVICE_MODIFICATION se product_event_type == Moving Endpoint ou a descrição corresponder a ".change instances."; NETWORK_CONNECTION se target_host não estiver vazio; caso contrário, GENERIC_EVENT |
| product_event_type | metadata.product_event_type | Valor copiado diretamente |
| application_protocol | network.application_protocol | Definido como "UNKNOWN_APPLICATION_PROTOCOL" se application_protocol == "lldpa" |
| host | principal.hostname | Valor copiado diretamente |
| ip | principal.ip | Valor copiado diretamente |
| process_id | principal.process.pid | Valor copiado diretamente |
| USUÁRIO | principal.user.userid | Valor copiado diretamente |
| log_level | security_result | Objeto com gravidade definida como "INFORMATIONAL" se INFO, "MEDIUM" se WARN, "HIGH" se ERROR; ação definida como "ALLOW" se INFO ou WARN, "BLOCK" se ERROR |
| aplicativo | target.application | Valor copiado diretamente |
| target_host | target.hostname | Valor copiado diretamente |
| porta | target.port | Convertido para número inteiro |
| COMMAND | target.process.command_line | Valor copiado diretamente |
| product_specific_id | target.process.product_specific_process_id | Prefixo "Bigswitch:" |
| kv_1, kv2, kv3 | target.user.group_identifiers | Unido de kv_1 se não estiver vazio, kv2 se não estiver vazio, kv3 se não estiver vazio |
| metadata.product_name | Definido como "Big Cloud Fabric" | |
| metadata.vendor_name | Definido como "Big Switch" |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.