Raccogliere i log dello switch della piattaforma H3C Comware

Supportato in:

Questo documento spiega come importare i log dello switch della piattaforma H3C Comware in Google Security Operations utilizzando Bindplane.

Gli switch di piattaforma H3C Comware sono switch di rete di livello aziendale che forniscono funzionalità di switching di livello 2 e 3, funzionalità di sicurezza avanzate e gestione completa della rete tramite il sistema operativo Comware. Gli switch supportano funzionalità di logging estese tramite la funzionalità del centro informazioni per il monitoraggio delle operazioni di rete, degli eventi di sicurezza e della diagnostica del sistema.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e lo switch della piattaforma H3C Comware
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso con privilegi alla console di gestione dello switch della piattaforma H3C Comware tramite console, Telnet o SSH
  • Switch della piattaforma H3C Comware con funzionalità di centro informazioni abilitata (abilitata per impostazione predefinita)

Recuperare il file di autenticazione dell'importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

Parametri di configurazione

  • Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • listen_address: impostato su 0.0.0.0:514 per ascoltare tutte le interfacce sulla porta UDP 51. Se esegui l'app come utente non root su Linux, puoi utilizzare una porta diversa, ad esempio 1514.

    • Configurazione dell'esportatore:

      • creds_file_path: percorso completo del file di autenticazione importazione:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente del passaggio precedente.
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.
      • log_type: imposta su H3C_SWITCH esattamente come mostrato.
      • ingestion_labels: Etichette facoltative in formato YAML (ad esempio, env: production).

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di syslog dello switch della piattaforma H3C Comware

Configura lo switch della piattaforma H3C Comware in modo che invii i messaggi syslog all'agente Bindplane.

Accedere alla CLI di Switch

  1. Accedi allo switch della piattaforma H3C Comware utilizzando uno dei seguenti metodi:
    • Connessione della porta della console
    • Telnet
    • SSH

  2. Inserisci la visualizzazione di sistema digitando questo comando:

    <H3C> system-view

Il prompt cambia in [H3C] per indicare che sei nella visualizzazione di sistema.

Verificare che il centro informazioni sia abilitato

  • Il centro informazioni è attivato per impostazione predefinita sugli switch della piattaforma H3C Comware. Per verificare o attivare il centro informazioni, inserisci questo comando:

    [H3C] info-center enable

  • Se il centro informazioni è già attivo, il sistema visualizza:

    Info: Information center is enabled.

(Facoltativo) Configurare il formato del timestamp

  • Il formato timestamp predefinito per le informazioni di sistema inviate all'host di log è la data. Per configurare il formato del timestamp, utilizza il seguente comando:

    [H3C] info-center timestamp loghost date

  • Formati timestamp disponibili:

    • date: il formato è "Mmm gg hh:mm:ss:ms aaaa" (ad esempio, 8 dic 10:12:21:708 2012)
    • iso: formato ISO 8601 (ad esempio, 2012-09-21T15:32:55)
    • no-year-date: data e ora correnti del sistema senza l'anno
    • none: Nessuna informazione sul timestamp

Configura l'host log

  • Specifica l'host dell'agente Bindplane come host dei log. Il parametro facility può essere impostato da local0 a local7, con il valore predefinito local7.

    [H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7

    • Sostituisci BINDPLANE_AGENT_IP con l'indirizzo IP dell'host che esegue l'agente Bindplane.

      • Ad esempio, se l'agente Bindplane è in esecuzione sull'host 192.168.1.100:

        [H3C] info-center loghost 192.168.1.100 port 514 facility local7

      • Parametri:

        • BINDPLANE_AGENT_IP: l'indirizzo IP dell'host dell'agente Bindplane
        • port 514: numero di porta UDP (deve corrispondere alla porta configurata nell'agente Bindplane)
        • facility local7: Strumento Syslog (sono validi i valori da local0 a local7; il valore predefinito è local7)

Configura l'interfaccia di origine (facoltativo)

  • Il comando di origine loghost info-center ha effetto solo dopo che il centro informazioni è stato abilitato con il comando info-center enable. Per specificare un'interfaccia di origine per i messaggi di log:

    [H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER

    • Ad esempio, per utilizzare l'interfaccia VLAN 1 come origine:

      [H3C] info-center loghost source vlan-interface 1

Disattiva l'output dei log predefinito nell'host di log

  • Per impostazione predefinita, il sistema invia le informazioni di tutti i moduli all'host di log. Per controllare quali moduli inviano i log, disattiva prima l'output predefinito:

    [H3C] undo info-center source default loghost

Configura le regole di output dei log

Configura quali moduli e livelli di gravità devono inviare i log all'host di log. Le informazioni di sistema sono classificate in otto livelli di gravità da 0 a 7 in ordine decrescente. L'opzione restituisce le informazioni di sistema con un livello di gravità maggiore o uguale a quello specificato. Ad esempio, se configuri una regola di output con un valore di gravità pari a 6 (informativo), verranno restituite le informazioni con un valore di gravità compreso tra 0 e 6.

  • Livelli di gravità (0-7):

    • 0: emergenze
    • 1: avvisi
    • 2: critico
    • 3: errori
    • 4: avvisi
    • 5: notifiche
    • 6: informativo
    • 7: debug

  • Per configurare l'output dei log per tutti i moduli a livello informativo o superiore:

    [H3C] info-center source default loghost level informational

  • Per configurare l'output dei log per moduli specifici (ad esempio ARP e IP):

    [H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

  • Per visualizzare i moduli di origine disponibili, utilizza:

    [H3C] info-center source ?

Salvare la configurazione

  1. Salva la configurazione per assicurarti che rimanga invariata dopo un riavvio:

    [H3C] save

  2. Quando richiesto, conferma inserendo Y.

Verificare la configurazione

  • Per verificare la configurazione del centro informazioni, utilizza il comando seguente:

    [H3C] display info-center

Questo comando mostra la configurazione corrente del centro informazioni, incluse le impostazioni dell'host log, le regole di output e le configurazioni dei canali.

Esempio di configurazione completa

  • Il seguente esempio mostra una configurazione completa per l'invio di log da tutti i moduli a livello informativo o superiore a un host di log all'indirizzo 192.168.1.100:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

Configurazione di esempio per moduli specifici

  • L'esempio seguente mostra la configurazione per l'invio dei log dei moduli ARP e IP a livello informativo a un host di log:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
extensions.auth.type Tipo di autenticazione utilizzato nell'evento
nome host intermediary.asset.hostname Il nome host della risorsa associata all'intermediario
nome host intermediary.hostname Nome host dell'entità intermediaria
inter_ip intermediary.asset.ip Indirizzo IP della risorsa associata all'intermediario
inter_ip intermediary.ip Indirizzo IP dell'entità intermediaria
IPAddr, prin_ip principal.asset.ip Indirizzo IP della risorsa associata al principale
IPAddr, prin_ip principal.ip Indirizzo IP dell'entità principale
prin_port principal.port Numero di porta associato all'entità
Utente, utente principal.user.userid ID utente dell'entità
tar_host target.asset.hostname Nome host della risorsa associata al target
tar_host target.hostname Nome host dell'entità di destinazione
tar_ip target.asset.ip Indirizzo IP dell'asset associato al target
tar_ip target.ip Indirizzo IP dell'entità di destinazione
tar_port target.port Numero di porta associato alla destinazione
tar_user target.user.userid ID utente della destinazione
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination additional.fields Campi di metadati aggiuntivi non coperti dai campi UDM standard
decr metadata.description Descrizione dell'evento
timestamp metadata.event_timestamp Timestamp in cui si è verificato l'evento
metadata.event_type Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
event_type metadata.product_event_type Identificatore del tipo di evento specifico del prodotto
metadata.product_name Nome del prodotto che genera l'evento
metadata.vendor_name Nome del fornitore del prodotto

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.