Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux de commutateur Extreme Networks

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux de commutateurs Extreme Networks dans Google Security Operations à l'aide de l'agent Bindplane.

Les commutateurs Extreme Networks génèrent des messages syslog pour les changements d'état des ports, les événements SLPP, l'authentification des utilisateurs, les opérations VLAN et les événements système. L'analyseur extrait les champs du syslog au format RFC-5424 et les mappe au modèle UDM (Unified Data Model).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le commutateur Extreme Networks
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface de ligne de commande du commutateur Extreme Networks

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non racine).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog sur un commutateur Extreme Networks

Connectez-vous au commutateur à l'aide de la CLI ou de la console.
Saisissez la commande "configure" pour accéder au niveau de configuration global :
```
device# configure terminal
```
Saisissez la commande d'adresse IP du serveur syslog pour ajouter un serveur syslog :
- Remplacez <bindplane_ip> par l'adresse IP réelle de l'agent Bindplane.
```
logging syslog-server <bindplane_ip>
```
Saisissez la commande de format pour configurer le format RFC-5424 pour les messages :
```
format RFC-5424
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`account_type`	`target.user.user_role`	Si `account_type` est "Administrative" ou "admin", définissez la valeur sur "ADMINISTRATOR". Sinon, mappez sur `target.user.attribute.roles.name`.
`application`	`target.application`	Mappé directement.
`attr`	`additional.fields`	Analysé pour extraire le WWN et créer une paire clé-valeur avec la clé "wwn" et le WWN extrait comme valeur de chaîne.
`class`	`additional.fields`	Crée une paire clé-valeur avec la clé "class" et la valeur du champ `class` en tant que valeur de chaîne.
`Cause`	`additional.fields`	Crée une paire clé-valeur avec la clé "Cause" et la valeur du champ `Cause` en tant que valeur de chaîne. Un objet vide est créé si aucun champ d'authentification spécifique n'est présent.
`Info`	`security_result.summary`	Mappé directement.
`interface`	`additional.fields`	Crée une paire clé-valeur avec la clé "interface" et la valeur du champ `interface` en tant que valeur de chaîne.
`ip`	`principal.ip`	Mappé directement.
`intermediary_ip`	`intermediary.ip`	Mappé directement.
`kv_data`	Diverses	Permet d'extraire des paires clé-valeur et de les mapper à différents champs UDM en fonction de la clé. Par exemple, `VrIpAddr` est mappé sur `intermediary.ip`, `IP` et `Addr` sont mappés sur `principal.ip`, `SlppRxPort` est mappé sur `principal.port`, et différents champs `rc*` sont mappés sur `security_result.detection_fields`.
`log_data`	Diverses	Analysés pour extraire des informations sur les connexions et déconnexions des utilisateurs, ainsi que sur d'autres événements. Utilisé pour remplir des champs tels que `principal.ip`, `principal.resource.name`, `target.user.userid`, `target.application`, `security_result.summary`, `security_result.description` et `metadata.description`.
`log_type`	`additional.fields`	Crée une paire clé-valeur avec la clé "log" et la valeur du champ `log_type` comme valeur de chaîne.
`message`	Diverses	Message de journal d'origine. Analysé pour extraire différents champs. L'horodatage est extrait du champ `timestamp` (s'il est présent et au format "aaaa-mm-ddTHH:mm:ss") ou du champ `message` à l'aide de modèles Grok. S'il est extrait du champ de message, il s'agit du code temporel dans le message de journal lui-même. Déterminé en fonction de la présence des options `has_principal`, `has_target`, `user_login` et `user_logout`. Valeurs possibles : "USER_LOGIN", "USER_LOGOUT", "STATUS_UPDATE" ou "GENERIC_EVENT". Mappé à partir du champ `msgid`. Valeur statique : "EXTREME_SWITCH". Mappé à partir du champ `ver`. Valeur statique : "EXTREME_SWITCH".
`msgid`	`metadata.product_log_id`	Mappé directement.
`port`	`principal.port`	Mappé directement et converti en entier.
`protocol`	`additional.fields`	Crée une paire clé-valeur avec la clé "Protocol" et la valeur du champ `protocol` en tant que valeur de chaîne.
`rcPortVLacpAdminEnable`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcPortVLacpAdminEnable" et sa valeur.
`rcSyslogHostAddress`	`principal.hostname`	Mappé directement.
`rcSyslogHostAddressType`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostAddressType" et sa valeur.
`rcSyslogHostEnable`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostEnable" et sa valeur.
`rcSyslogHostFacility`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostFacility" et sa valeur.
`rcSyslogHostMapErrorSeverity`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostMapErrorSeverity" et sa valeur.
`rcSyslogHostMapFatalSeverity`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostMapFatalSeverity" et sa valeur.
`rcSyslogHostMapInfoSeverity`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostMapInfoSeverity" et sa valeur.
`rcSyslogHostMapWarningSeverity`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostMapWarningSeverity" et sa valeur.
`rcSyslogHostRowStatus`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostRowStatus" et sa valeur.
`rcSyslogHostSeverity`	`security_result.detection_fields`	Crée une paire clé-valeur avec la clé "rcSyslogHostSeverity" et sa valeur.
`resource`	`principal.resource.name`	Mappé directement.
`sec_description`	`security_result.description`	Mappé directement.
`seqnum`	`additional.fields`	Crée une paire clé-valeur avec la clé "seqnum" et la valeur du champ `seqnum` en tant que valeur de chaîne.
`session_id`	`network.session_id`	Mappé directement.
`severity`	`security_result.severity`	Mappé avec conversion : "CRITICAL", "ERROR" et "HIGH" sont mappés directement ; "INFO" est mappé sur "INFORMATIONAL" ; "WARNING" est mappé sur "MEDIUM" ; "LOW", "MEDIUM" et "INFORMATIONAL" sont mappés directement.
`SlppIncomingVlanId`	`additional.fields`	Crée une paire clé-valeur avec la clé "SlppIncomingVlanId" et la valeur du champ `SlppIncomingVlanId` en tant que valeur de chaîne.
`SlppRxVlan`	`additional.fields`	Crée une paire clé-valeur avec la clé "SlppRxVlan" et la valeur du champ `SlppRxVlan` comme valeur de chaîne.
`SlppSrcMacAddress`	`principal.mac`	Mappé directement.
`Status`	`additional.fields`	Crée une paire clé-valeur avec la clé "Status" et la valeur du champ `Status` comme valeur de chaîne.
`swname`	`additional.fields`	Crée une paire clé-valeur avec la clé "swname" et la valeur du champ `swname` en tant que valeur de chaîne.
`timestamp`	`metadata.event_timestamp`	Analysé et converti en objet d'horodatage.
`tz`	`additional.fields`	Crée une paire clé-valeur avec la clé "tz" et la valeur du champ `tz` en tant que valeur de chaîne.
`Type`	`additional.fields`	Crée une paire clé-valeur avec la clé "Type" et la valeur du champ `Type` en tant que valeur de chaîne.
`username`	`target.user.userid`	Mappé directement.
`ver`	`metadata.product_version`	Mappé directement.
`VrId`	`additional.fields`	Crée une paire clé-valeur avec la clé "VrId" et la valeur du champ `VrId` en tant que valeur de chaîne.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.