Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log dello switch Dell

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log degli switch Dell in Google Security Operations utilizzando l'agente Bindplane.

Questo parser estrae i log degli switch Dell, normalizza i timestamp e utilizza i pattern grok per strutturare il messaggio di log in coppie chiave-valore. Quindi, mappa questi campi estratti nel modello UDM (Unified Data Model), gestendo vari formati di log e arricchendo i dati con informazioni contestuali come i dettagli degli asset e la gravità della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e lo switch Dell
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Una connessione attiva e credenziali amministrative per uno switch Dell

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/dell_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: DELL_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/dell_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/dell_switch

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'esportazione di syslog da uno switch Dell

Connettiti allo switch Dell utilizzando SSH o la porta della console.
Accedi con le credenziali amministrative.
Utilizza il seguente comando per specificare l'indirizzo IP o il nome host del server syslog (sostituisci <syslog-server-ip>, <udp|tcp> e <syslog-port-number> con i dettagli effettivi):
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
(Facoltativo) Definisci il livello minimo di gravità per i messaggi da inviare al server syslog. Ad esempio, per registrare i messaggi informativi e superiori:
```
logging level informational
```
Salva la configurazione in esecuzione nella configurazione di avvio per assicurarti che le modifiche vengano mantenute dopo i riavvii:
```
copy running-config startup-config
```
Salva la configurazione:
```
write memory
```

Log campione di Dell Switch supportati

SYSLOG

{
  "priority": 165,
  "version": 1,
  "timestamp": "2023-10-12T12:37:17.249566+00:00",
  "hostname": "switch-lon-01",
  "app_name": "dn_alm",
  "proc_id": "940",
  "message": "Node.1-Unit.1:PRI [event], Dell EMC (OS10) %ALM_AUTH_EVENT: Authentication event was raised MESSAGE=pam_unix(sshd:session): session opened for user service_account by (uid=0)"
}

JSON

{
  "appname": "SNOOP",
  "facility": 23,
  "hostname": "access-switch-a1",
  "message": "snooping.c(2177) 70820228 %% DBG Report from intf Gi6/0/11 ignored -- no router ports on vlan 193",
  "priority": 191,
  "proc_id": "snoopTask"
}

Formato KV / eventi

Events: 
  Eventid        = {38812} 
  Occurrencetime = {3 Sept 2024 00:06:06} 
  Eventseverity  = {Minor} 
  Jobid          = {30506} 
  Computer       = {backup-server-01} 
  Program        = {DatabaseAgent} 
  Description    = {Block Change Tracking is found DISABLED on Oracle DB [PROD_DB]. Incremental backups may run slow.}

Audit SYSLOG

{
    "priority": 110,
    "version": 1,
    "timestamp": "2023-12-12T00:58:26.893679+00:00",
    "hostname": "core-switch-palf",
    "app_name": ".clish",
    "proc_id": "29156",
    "message": "Node.1-Unit.1:PRI [audit], User sec_admin on /dev/pts/0 from 10.0.0.50 used cmd: 'terminal length 0' - completed"
}

Formato SNMP trap / TRAPMGR

{
  "priority": 189,
  "version": 1,
  "timestamp": "2023-12-28T23:37:27.394Z",
  "hostname": "dist-switch-01",
  "app_name": "TRAPMGR",
  "proc_id": "trapTask",
  "extensions": {
    "origin_ip": "192.168.1.1",
    "software": "N3000_Series",
    "swVersion": "6.3.2.3"
  },
  "message": "traputil.c(721) 1056839 %% Gi1/0/5 is transitioned from the Learning state to the Forwarding state"
}

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`acct`	`principal.user.userid`	Utilizzato come `userid` se il campo `user` non è presente.
`addr`	`principal.asset.ip`, `principal.ip`	Analizzato come indirizzo IP e utilizzato per l'IP del principal e dell'asset se è un IP valido e diverso dal nome host.
`application`	`principal.application`	Mappato direttamente.
`asset`	`principal.asset.attribute.labels.value`	Mappato direttamente al valore dell'etichetta delle risorse, con la chiave hardcoded "Nome asset". Se il campo della risorsa è vuoto e il messaggio contiene "Dell", la risorsa viene impostata su "Dell".
`auid`	`principal.resource.attribute.labels.value`	Mappato direttamente a un'etichetta con la chiave `auid` all'interno di `principal.resource.attribute.labels`.
`datetime`	`metadata.event_timestamp`	Analizzato da vari formati nel campo del messaggio e convertito in un timestamp.
`dest_ip`	`target.asset.ip`, `target.ip`	Mappato all'IP di destinazione e all'IP della risorsa di destinazione.
`enterpriseId`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `enterpriseId` all'interno di `principal.resource.attribute.labels`.
`exe`	`sec_result.detection_fields.value`	Mappato a un campo di rilevamento con la chiave `exe`.
`File`	`target.file.full_path`	Mappato direttamente.
`grantors`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `grantors` all'interno di `principal.resource.attribute.labels`.
`host`	`principal.hostname`, `principal.asset.hostname`, `metadata.event_type`	Utilizzato come nome host principale e nome host dell'asset. Se è presente `host`, `metadata.event_type` è impostato su `STATUS_UPDATE`. Se il nome host è presente, ma l'host no, il nome host viene utilizzato come host.
`hostname`	`principal.asset.ip`, `principal.ip`, `host`	Se è un IP valido, utilizzato per l'IP principale e l'IP asset. Se `host` è vuoto, viene utilizzato come `host`.
`ID`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `ID` all'interno di `principal.resource.attribute.labels`.
`ip`	`principal.asset.ip`, `principal.ip`	Mappato all'IP principale e all'IP asset.
`is_synced`	`sec_result.detection_fields.value`	Mappato a un campo di rilevamento con la chiave `is_synced`.
`local`	`target.asset.ip`, `target.ip`, `target.port`	Analizzato per estrarre IP e porta locali, mappati a IP di destinazione, IP asset di destinazione e porta di destinazione.
`local_ip`	`target.asset.ip`, `target.ip`	Estratto dal campo `local` e mappato all'IP di destinazione e all'IP dell'asset di destinazione.
`local_port`	`target.port`	Estratto dal campo `local` e mappato alla porta di destinazione.
`mac`	`principal.mac`	Se è un indirizzo MAC valido, mappato all'indirizzo MAC principale.
`msg`	`metadata.description`	Utilizzato come descrizione dell'evento, se presente. Analizzato anche per i campi aggiuntivi.
`msg1`	`metadata.description`	Utilizzato come descrizione dell'evento se `msg2` non è presente.
`msg2`	`sec_result.description`, `metadata.event_type`, `extensions.auth.type`	Utilizzata come descrizione del risultato di sicurezza. Se contiene "opened for user", il tipo di evento è impostato su `USER_LOGIN` e il tipo di autenticazione su `MACHINE`. Se contiene "closed for user", il tipo di evento è impostato su `USER_LOGOUT` e il tipo di autenticazione su `MACHINE`.
`op`	`metadata.product_event_type`	Utilizzato come tipo di evento prodotto, se presente.
`pid`	`principal.process.pid`	Mappato direttamente.
`port`	`principal.port`	Mappato direttamente.
`prod_event_type`	`metadata.product_event_type`	Utilizzato come tipo di evento prodotto, se presente.
`res`	`sec_result.summary`	Mappato direttamente.
`sec_description`	`sec_result.description`, `target.url`, `target.ip`, `target.asset.ip`, `sec_result.action_details`	Analizzato per URL di destinazione, IP, dettagli dell'azione e utilizzato come descrizione del risultato di sicurezza.
`Server_ID`	`target.resource.product_object_id`	Mappato direttamente.
`server`	`principal.asset.ip`, `principal.ip`, `principal.port`	Analizzato per estrarre l'IP e la porta del server, mappato all'IP principale, all'IP dell'asset principale e alla porta principale.
`server_ip`	`principal.asset.ip`, `principal.ip`	Estratto dal campo `server` e mappato all'IP principale e all'IP asset principale.
`server_port`	`principal.port`	Estratto dal campo `server` e mappato alla porta principale.
`ses`	`network.session_id`	Mappato direttamente.
`severity`	`sec_result.severity`, `metadata.product_event_type`	Utilizzato per determinare la gravità del risultato di sicurezza e il tipo di evento del prodotto in base a valori specifici.
`software`	`principal.asset.software`	Mappato direttamente.
`softwareName`	`software.name`	Mappato direttamente.
`Status`	`sec_result.summary`	Utilizzato come riepilogo dei risultati di sicurezza se `res` non è presente.
`subj`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `subj` all'interno di `principal.resource.attribute.labels`.
`swVersion`	`software.version`	Mappato direttamente.
`target_host`	`target.hostname`, `target.asset.hostname`	Mappato direttamente al nome host di destinazione e al nome host dell'asset di destinazione.
`target_ip`	`target.asset.ip`, `target.ip`	Mappato direttamente all'IP di destinazione e all'IP risorsa di destinazione.
`target_url`	`target.url`	Mappato direttamente.
`target_user_id`	`target.user.userid`	Mappato direttamente.
`terminal`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `terminal` all'interno di `principal.resource.attribute.labels`.
`tzknown`	`sec_result.detection_fields.value`	Mappato a un campo di rilevamento con la chiave `tzknown`.
`uid`	`principal.resource.attribute.labels.value`	Mappato a un'etichetta con la chiave `uid` all'interno di `principal.resource.attribute.labels`.
`user`	`principal.user.userid`, `metadata.event_type`	Utilizzato come ID utente principale. Se è presente `user`, `metadata.event_type` è impostato su `USER_UNCATEGORIZED`.
`username`	`target.user.userid`	Mappato direttamente all'ID utente di destinazione.
N/D	`metadata.vendor_name`	Codificato in modo permanente su "Dell".
N/D	`metadata.product_name`	Codificato in modo permanente su "Dell Switch".
N/D	`extensions.auth.type`	Imposta `MACHINE` per eventi di accesso/uscita specifici.
N/D	`metadata.event_type`	Determinato da una logica complessa basata su vari campi e condizioni, il valore predefinito è `GENERIC_EVENT` se non è impostato diversamente. Può essere `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `NETWORK_CONNECTION`, `NETWORK_UNCATEGORIZED`, `STATUS_UPDATE` o `GENERIC_EVENT`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.