Collecter les journaux du commutateur de plate-forme H3C Comware

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux de commutateur de plate-forme H3C Comware dans Google Security Operations à l'aide de Bindplane.

Les commutateurs de plate-forme H3C Comware sont des commutateurs réseau de classe entreprise qui offrent des fonctionnalités de commutation de couche 2 et de couche 3, des fonctionnalités de sécurité avancées et une gestion réseau complète grâce au système d'exploitation Comware. Les commutateurs sont compatibles avec de nombreuses fonctionnalités de journalisation grâce à la fonctionnalité de centre d'informations, qui permet de surveiller les opérations réseau, les événements de sécurité et les diagnostics système.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le commutateur de plate-forme H3C Comware
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console de gestion du commutateur H3C Comware Platform via la console, Telnet ou SSH
Switch de plate-forme H3C Comware avec la fonctionnalité de centre d'informations activée (activée par défaut)

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

Paramètres de configuration

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - listen_address : définissez la valeur sur 0.0.0.0:514 pour écouter sur toutes les interfaces sur le port UDP 51. Vous pouvez utiliser un autre port, tel que 1514, si vous exécutez le serveur en tant qu'utilisateur non root sur Linux.
- Configuration de l'exportateur :
  - creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id : remplacez YOUR_CUSTOMER_ID par votre numéro client de l'étape précédente.
  - endpoint : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
  - log_type : définissez la valeur sur H3C_SWITCH exactement comme indiqué.
  - ingestion_labels : libellés facultatifs au format YAML (par exemple, env: production).

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
  sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
  sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog du commutateur de plate-forme H3C Comware

Configurez votre commutateur H3C Comware Platform pour envoyer des messages syslog à l'agent Bindplane.

Accéder à la CLI du commutateur

Connectez-vous au commutateur de plate-forme H3C Comware à l'aide de l'une des méthodes suivantes :
- Connexion du port de la console
- Telnet
- SSH
Saisissez la commande suivante pour accéder à la vue système :
```
<H3C> system-view
```

L'invite devient [H3C] pour indiquer que vous êtes dans la vue système.

Vérifier que le centre d'informations est activé

Le centre d'informations est activé par défaut sur les commutateurs de la plate-forme H3C Comware. Pour vérifier ou activer le centre d'informations, saisissez la commande suivante :
```
[H3C] info-center enable
```
Si le centre d'informations est déjà activé, le système affiche :
```
Info: Information center is enabled.
```

Configurer le format du code temporel (facultatif)

Le format de code temporel par défaut pour les informations système envoyées à l'hôte de journaux est "date". Pour configurer le format de l'horodatage, utilisez la commande suivante :
```
[H3C] info-center timestamp loghost date
```
Formats de code temporel disponibles :
- date : le format est "Mmm dd hh:mm:ss:ms yyyy" (par exemple, Dec 8 10:12:21:708 2012)
- iso : format ISO 8601 (par exemple, 2012-09-21T15:32:55)
- no-year-date : date et heure actuelles du système sans l'année
- none : aucune information d'horodatage

Configurer l'hôte de journaux

Spécifiez l'hôte de l'agent Bindplane comme hôte de journaux. Le paramètre "facility" peut être défini sur une valeur comprise entre local0 et local7, la valeur par défaut étant local7.
```
[H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7
```
- Remplacez BINDPLANE_AGENT_IP par l'adresse IP de l'hôte exécutant l'agent Bindplane.
  - Par exemple, si l'agent Bindplane est en cours d'exécution sur l'hôte 192.168.1.100 :
```
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
```
  - Paramètres :
    - BINDPLANE_AGENT_IP : adresse IP de l'hôte de l'agent Bindplane
    - port 514 : numéro de port UDP (doit correspondre au port configuré dans l'agent Bindplane)
    - facility local7 : installation Syslog (local0 à local7 sont valides ; la valeur par défaut est local7)

Configurer l'interface source (facultatif)

La commande source loghost du centre d'informations ne prend effet qu'une fois le centre d'informations activé avec la commande info-center enable. Pour spécifier une interface source pour les messages de journaux :
```
[H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER
```
- Par exemple, pour utiliser l'interface VLAN 1 comme source :
```
[H3C] info-center loghost source vlan-interface 1
```

Désactiver la sortie de journal par défaut vers l'hôte de journaux

Par défaut, le système envoie les informations de tous les modules à l'hôte du journal. Pour contrôler les modules qui envoient des journaux, commencez par désactiver la sortie par défaut :
```
[H3C] undo info-center source default loghost
```

Configurer des règles de sortie de journaux

Configurez les modules et les niveaux de gravité qui doivent envoyer des journaux à l'hôte de journaux. Les informations système sont classées en huit niveaux de gravité, de 0 à 7, par ordre décroissant. Le commutateur affiche les informations système avec un niveau de gravité supérieur ou égal à celui spécifié. Par exemple, si vous configurez une règle de sortie avec une valeur de gravité de 6 (informationnelle), les informations dont la valeur de gravité est comprise entre 0 et 6 seront générées.

Niveaux de gravité (de 0 à 7) :
- 0 : urgences
- 1 : alertes
- 2: critique
- 3 : erreurs
- 4 : avertissements
- 5 : notifications
- 6 : information
- 7 : Débogage
Pour configurer la sortie du journal pour tous les modules au niveau "Informations" ou supérieur :
```
[H3C] info-center source default loghost level informational
```

Pour configurer la sortie des journaux pour des modules spécifiques (par exemple, ARP et IP) :

[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

Pour afficher les modules sources disponibles, utilisez la commande suivante :
```
[H3C] info-center source ?
```

Enregistrer la configuration

Enregistrez la configuration pour qu'elle persiste après un redémarrage :
```
[H3C] save
```
Lorsque vous y êtes invité, confirmez en saisissant Y.

Vérifier la configuration

Pour vérifier la configuration du centre d'informations, utilisez la commande suivante :
```
[H3C] display info-center
```

Cette commande affiche la configuration actuelle du centre d'informations, y compris les paramètres de l'hôte de journaux, les règles de sortie et les configurations de canal.

Exemple de configuration complète

L'exemple suivant montre une configuration complète pour envoyer les journaux de tous les modules au niveau "Informations" ou supérieur à un hôte de journaux à l'adresse 192.168.1.100 :

<H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

Exemple de configuration pour des modules spécifiques

L'exemple suivant montre la configuration permettant d'envoyer les journaux des modules ARP et IP au niveau des informations à un hôte de journaux :

<H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
	extensions.auth.type	Type d'authentification utilisé dans l'événement
nom d'hôte	intermediary.asset.hostname	Nom d'hôte de l'élément associé à l'intermédiaire
nom d'hôte	intermediary.hostname	Nom d'hôte de l'entité intermédiaire
inter_ip	intermediary.asset.ip	Adresse IP de l'élément associé à l'intermédiaire
inter_ip	intermediary.ip	Adresse IP de l'entité intermédiaire
IPAddr, prin_ip	principal.asset.ip	Adresse IP de l'élément associé au principal
IPAddr, prin_ip	principal.ip	Adresse IP de l'entité principale
prin_port	principal.port	Numéro de port associé au compte principal
Utilisateur, utilisateur	principal.user.userid	ID utilisateur du principal
tar_host	target.asset.hostname	Nom d'hôte de l'élément associé à la cible
tar_host	target.hostname	Nom d'hôte de l'entité cible
tar_ip	target.asset.ip	Adresse IP de l'élément associé à la cible
tar_ip	target.ip	Adresse IP de l'entité cible
tar_port	target.port	Numéro de port associé à la cible
tar_user	target.user.userid	ID utilisateur de la cible
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination	additional.fields	Champs de métadonnées supplémentaires non couverts par les champs UDM standards
décroiss.	metadata.description	Description de l'événement
timestamp	metadata.event_timestamp	Code temporel de l'événement
	metadata.event_type	Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION)
event_type	metadata.product_event_type	Identifiant du type d'événement spécifique au produit
	metadata.product_name	Nom du produit qui génère l'événement
	metadata.vendor_name	Nom du fournisseur du produit

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.