Coletar registros do switch da plataforma H3C Comware

Compatível com:

Este documento explica como ingerir registros do switch da plataforma H3C Comware no Google Security Operations usando o Bindplane.

Os switches da plataforma H3C Comware são switches de rede de nível empresarial que oferecem recursos de comutação de camada 2 e camada 3, recursos de segurança avançados e gerenciamento de rede abrangente pelo sistema operacional Comware. Os switches oferecem recursos abrangentes de geração de registros pelo recurso da central de informações para monitorar operações de rede, eventos de segurança e diagnósticos do sistema.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o switch da plataforma H3C Comware
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
  • Acesso privilegiado ao console de gerenciamento do switch da plataforma H3C Comware via console, Telnet ou SSH
  • Switch da plataforma H3C Comware com o recurso de central de informações ativado (ativado por padrão)

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

Parâmetros de configuração

  • Substitua os seguintes marcadores de posição:

    • Configuração do receptor:

      • listen_address: defina como 0.0.0.0:514 para detectar todas as interfaces na porta UDP 51. Você pode usar uma porta diferente, como 1514, se estiver executando como não root no Linux.

    • Configuração do exportador:

      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: substitua YOUR_CUSTOMER_ID pelo ID de cliente da etapa anterior.
      • endpoint: URL do endpoint regional:
        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulte a lista completa em Endpoints regionais.
      • log_type: defina como H3C_SWITCH exatamente como mostrado.
      • ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production).

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

        sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do switch da plataforma H3C Comware

Configure o switch da plataforma H3C Comware para enviar mensagens syslog ao agente do Bindplane.

Acessar a CLI do switch

  1. Faça login no switch da plataforma H3C Comware usando um dos seguintes métodos:
    • Conexão da porta do console
    • Telnet
    • SSH

  2. Digite o seguinte comando para entrar na visualização do sistema:

    <H3C> system-view

O comando muda para [H3C], indicando que você está na visualização do sistema.

Verificar se a central de informações está ativada

  • O centro de informações fica ativado por padrão nos switches da plataforma H3C Comware. Para verificar ou ativar a central de informações, insira o seguinte comando:

    [H3C] info-center enable

  • Se a central de informações já estiver ativada, o sistema vai mostrar:

    Info: Information center is enabled.

Configurar o formato de carimbo de data/hora (opcional)

  • O formato de carimbo de data/hora padrão para informações do sistema enviadas ao host de registros é "date". Para configurar o formato do carimbo de data/hora, use o seguinte comando:

    [H3C] info-center timestamp loghost date

  • Formatos de carimbo de data/hora disponíveis:

    • date: o formato é "Mmm dd hh:mm:ss:ms yyyy" (por exemplo, 8 de dezembro de 10:12:21:708 de 2012)
    • iso: formato ISO 8601 (por exemplo, 2012-09-21T15:32:55)
    • no-year-date: data e hora atuais do sistema sem o ano
    • none: sem informações de carimbo de data/hora

Configurar o host de registros

  • Especifique o host do agente do Bindplane como o host de registros. O parâmetro "facility" pode ser definido de local0 a local7, sendo o valor padrão local7.

    [H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7

    • Substitua BINDPLANE_AGENT_IP pelo endereço IP do host que executa o agente do Bindplane.

      • Por exemplo, se o agente do Bindplane estiver sendo executado no host 192.168.1.100:

        [H3C] info-center loghost 192.168.1.100 port 514 facility local7

      • Parâmetros:

        • BINDPLANE_AGENT_IP: endereço IP do host do agente do Bindplane
        • port 514: número da porta UDP (precisa corresponder à porta configurada no agente do Bindplane)
        • facility local7: facilidade do Syslog (local0 a local7 são válidos; o padrão é local7).

Configurar a interface de origem (opcional)

  • O comando de origem loghost do info-center só entra em vigor depois que o centro de informações é ativado com o comando info-center enable. Para especificar uma interface de origem para mensagens de registro:

    [H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER

    • Por exemplo, para usar a interface VLAN 1 como origem:

      [H3C] info-center loghost source vlan-interface 1

Desativar a saída de registro padrão para o host de registro

  • Por padrão, o sistema gera informações de todos os módulos para o host de registros. Para controlar quais módulos enviam registros, primeiro desative a saída padrão:

    [H3C] undo info-center source default loghost

Configurar regras de saída de registros

Configure quais módulos e níveis de gravidade devem enviar registros para o host de registros. As informações do sistema são classificadas em oito níveis de gravidade, de 0 a 7, em ordem decrescente. A opção mostra as informações do sistema com um nível de gravidade maior ou igual ao especificado. Por exemplo, se você configurar uma regra de saída com um valor de gravidade 6 (informativo), as informações com um valor de gravidade de 0 a 6 serão geradas.

  • Níveis de gravidade (0 a 7):

    • 0: emergências
    • 1: alertas
    • 2: crítica
    • 3: erros
    • 4: avisos
    • 5: notificações
    • 6: informativa
    • 7: depuração

  • Para configurar a saída de registros de todos os módulos no nível informativo ou superior:

    [H3C] info-center source default loghost level informational

  • Para configurar a saída de registros de módulos específicos (por exemplo, ARP e IP):

    [H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

  • Para conferir os módulos de origem disponíveis, use:

    [H3C] info-center source ?

Salvar a configuração

  1. Salve a configuração para garantir que ela persista após uma reinicialização:

    [H3C] save

  2. Quando solicitado, confirme digitando Y.

Verificar a configuração

  • Para verificar a configuração da central de informações, use o seguinte comando:

    [H3C] display info-center

Esse comando mostra a configuração atual da central de informações, incluindo configurações do host de registros, regras de saída e configurações de canal.

Exemplo de configuração completa

  • O exemplo a seguir mostra uma configuração completa para enviar registros de todos os módulos no nível informativo ou superior para um host de registro em 192.168.1.100:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

Exemplo de configuração para módulos específicos

  • O exemplo a seguir mostra a configuração para enviar registros de módulos ARP e IP no nível informativo para um host de registro:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
extensions.auth.type Tipo de autenticação usado no evento
nome do host intermediary.asset.hostname Nome do host do recurso associado ao intermediário.
nome do host intermediary.hostname Nome do host da entidade intermediária
inter_ip intermediary.asset.ip Endereço IP do recurso associado ao intermediário
inter_ip intermediary.ip Endereço IP da entidade intermediária
IPAddr, prin_ip principal.asset.ip Endereço IP do recurso associado ao principal
IPAddr, prin_ip principal.ip Endereço IP da entidade principal
prin_port principal.port Número da porta associada ao principal.
Usuário, usuário principal.user.userid ID do usuário do principal
tar_host target.asset.hostname Nome do host do recurso associado ao destino
tar_host target.hostname Nome do host da entidade de destino
tar_ip target.asset.ip Endereço IP do recurso associado ao destino
tar_ip target.ip Endereço IP da entidade de destino
tar_port target.port Número da porta associada ao destino.
tar_user target.user.userid ID do usuário do destino
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination additional.fields Outros campos de metadados não cobertos pelos campos padrão do UDM
desc metadata.description A descrição do evento
timestamp metadata.event_timestamp Carimbo de data/hora em que o evento ocorreu
metadata.event_type Tipo de evento (por exemplo, USER_LOGIN, NETWORK_CONNECTION)
event_type metadata.product_event_type Identificador de tipo de evento específico do produto.
metadata.product_name Nome do produto que gerou o evento
metadata.vendor_name Nome do fornecedor do produto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.