Coletar registros do switch da Extreme Networks

Compatível com:

Este documento explica como ingerir registros de switches da Extreme Networks no Google Security Operations usando o agente do Bindplane.

Os switches da Extreme Networks geram mensagens syslog para mudanças no status da porta, eventos SLPP, autenticação de usuários, operações de VLAN e eventos do sistema. O analisador extrai campos do syslog formatado RFC-5424 e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o switch da Extreme Networks
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso privilegiado à CLI do switch da Extreme Networks

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão.

  4. Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

    O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor:

    • listen_address: endereço IP e porta a serem detectados:
      • 0.0.0.0 para detectar em todas as interfaces (recomendado)
      • A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz)

  • Configuração do exportador:

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: ID do cliente copiado do console do Google SecOps
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

  • Depois de editar, salve o arquivo:
    • Linux: pressione Ctrl+O, Enter e Ctrl+X.
    • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.
      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o syslog no switch da Extreme Networks

  1. Faça login no switch usando a CLI ou o console.

  2. Insira o comando "configure" para acessar o nível de configuração global:

    device# configure terminal

  3. Digite o comando de endereço IP do servidor syslog para adicionar um servidor syslog:

    • Substitua <bindplane_ip> pelo endereço IP real do agente do Bindplane.
    logging syslog-server <bindplane_ip>

  4. Insira o comando de formato para configurar o formato RFC-5424 para mensagens:

    format RFC-5424

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
account_type target.user.user_role Se account_type for "Administrativo" ou "admin", defina como "ADMINISTRATOR". Caso contrário, mapeie para target.user.attribute.roles.name.
application target.application Mapeado diretamente.
attr additional.fields Analisado para extrair o WWN e criar um par de chave-valor com a chave "wwn" e o WWN extraído como o valor da string.
class additional.fields Cria um par de chave-valor com a chave "class" e o valor do campo class como o valor da string.
Cause additional.fields Cria um par de chave-valor com a chave "Cause" e o valor do campo Cause como o valor da string. Objeto vazio criado se nenhum campo de autenticação específico estiver presente.
Info security_result.summary Mapeado diretamente.
interface additional.fields Cria um par de chave-valor com a chave "interface" e o valor do campo interface como o valor da string.
ip principal.ip Mapeado diretamente.
intermediary_ip intermediary.ip Mapeado diretamente.
kv_data Vários Usado para extrair pares de chave-valor e mapeá-los para diferentes campos do UDM com base na chave. Por exemplo, VrIpAddr é mapeado para intermediary.ip, IP e Addr são mapeados para principal.ip, SlppRxPort é mapeado para principal.port e vários campos rc* são mapeados para security_result.detection_fields.
log_data Vários Analisados para extrair informações sobre logins, logouts e outros eventos do usuário. Usado para preencher campos como principal.ip, principal.resource.name, target.user.userid, target.application, security_result.summary, security_result.description e metadata.description.
log_type additional.fields Cria um par de chave-valor com a chave "log" e o valor do campo log_type como o valor da string.
message Vários A mensagem de registro original. Analisado para extrair vários campos. O carimbo de data/hora é extraído do campo timestamp (se presente e no formato "aaaa-mm-ddTHH:mm:ss") ou do campo message usando padrões grok. Se extraído do campo de mensagem, é o carimbo de data/hora na própria mensagem de registro. Determinado com base na presença das flags has_principal, has_target, user_login e user_logout. Pode ser "USER_LOGIN", "USER_LOGOUT", "STATUS_UPDATE" ou "GENERIC_EVENT". Mapeado do campo msgid. Valor estático: "EXTREME_SWITCH". Mapeado do campo ver. Valor estático: "EXTREME_SWITCH".
msgid metadata.product_log_id Mapeado diretamente.
port principal.port Mapeado diretamente e convertido em um número inteiro.
protocol additional.fields Cria um par de chave-valor com a chave "Protocol" e o valor do campo protocol como o valor da string.
rcPortVLacpAdminEnable security_result.detection_fields Cria um par de chave-valor com a chave "rcPortVLacpAdminEnable" e o valor dela.
rcSyslogHostAddress principal.hostname Mapeado diretamente.
rcSyslogHostAddressType security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostAddressType" e o valor dela.
rcSyslogHostEnable security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostEnable" e o valor dela.
rcSyslogHostFacility security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostFacility" e o valor dela.
rcSyslogHostMapErrorSeverity security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostMapErrorSeverity" e o valor dela.
rcSyslogHostMapFatalSeverity security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostMapFatalSeverity" e o valor dela.
rcSyslogHostMapInfoSeverity security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostMapInfoSeverity" e o valor dela.
rcSyslogHostMapWarningSeverity security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostMapWarningSeverity" e o valor dela.
rcSyslogHostRowStatus security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostRowStatus" e o valor dela.
rcSyslogHostSeverity security_result.detection_fields Cria um par de chave-valor com a chave "rcSyslogHostSeverity" e o valor dela.
resource principal.resource.name Mapeado diretamente.
sec_description security_result.description Mapeado diretamente.
seqnum additional.fields Cria um par de chave-valor com a chave "seqnum" e o valor do campo seqnum como o valor da string.
session_id network.session_id Mapeado diretamente.
severity security_result.severity Mapeado com conversão: "CRITICAL", "ERROR" e "HIGH" são mapeados diretamente; "INFO" é mapeado para "INFORMATIONAL"; "WARNING" é mapeado para "MEDIUM"; "LOW", "MEDIUM" e "INFORMATIONAL" são mapeados diretamente.
SlppIncomingVlanId additional.fields Cria um par de chave-valor com a chave "SlppIncomingVlanId" e o valor do campo SlppIncomingVlanId como o valor da string.
SlppRxVlan additional.fields Cria um par de chave-valor com a chave "SlppRxVlan" e o valor do campo SlppRxVlan como o valor da string.
SlppSrcMacAddress principal.mac Mapeado diretamente.
Status additional.fields Cria um par de chave-valor com a chave "Status" e o valor do campo Status como o valor da string.
swname additional.fields Cria um par de chave-valor com a chave "swname" e o valor do campo swname como o valor da string.
timestamp metadata.event_timestamp Analisado e convertido em um objeto de carimbo de data/hora.
tz additional.fields Cria um par de chave-valor com a chave "tz" e o valor do campo tz como o valor da string.
Type additional.fields Cria um par de chave-valor com a chave "Type" e o valor do campo Type como o valor da string.
username target.user.userid Mapeado diretamente.
ver metadata.product_version Mapeado diretamente.
VrId additional.fields Cria um par de chave-valor com a chave "VrId" e o valor do campo VrId como o valor da string.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.