Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log switch Alcatel

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log switch Alcatel ke Google Security Operations menggunakan agen Bindplane. Parser mengekstrak kolom menggunakan serangkaian pola grok berdasarkan format log yang berbeda. Kemudian, kolom yang diekstrak dipetakan ke kolom yang sesuai dalam Model Data Terpadu (UDM) dan data diperkaya dengan metadata seperti vendor dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki kredensial istimewa ke switch Alcatel.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ALCATEL_SWITCH
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Ekspor Syslog Switch Alcatel

Hubungkan menggunakan SSH atau kabel konsol ke switch.
Login dengan kredensial administrator.
Masuk ke mode global configuration:
```
enable
configure terminal
```
Tetapkan alamat IP server Bindplane (syslog):
```
swlog output socket <syslog-server-ip>
```
- Ganti <syslog-server-ip> dengan alamat IP Bindplane Agent.
Catatan: Secara default, switch menggunakan port UDP 514 untuk komunikasi syslog.
Aktifkan logging ke server syslog:
```
swlog remote enable
```
Mengonfigurasi tingkat logging:
```
swlog console level info
```
Aktifkan logging perintah:
```
command-log enable
```
Simpan perubahan pada konfigurasi startup:
```
write memory
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`1.1.1.1`	principal.ip principal.asset.ip	Diekstrak dari pesan log.
`1.1.1.2`	target.ip target.asset.ip	Diekstrak dari pesan log.
`1.1.2.7`	target.ip target.asset.ip	Diekstrak dari pesan log.
`1035`	target.port	Diekstrak dari pesan log.
`2266`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `vlan`.
`3036`	principal.port	Diekstrak dari pesan log.
`59300`	target.port	Diekstrak dari pesan log.
`60588`	target.port	Diekstrak dari pesan log.
`997`	principal.resource.attribute.labels.value	Diekstrak dari pesan log dan dipetakan sebagai `limit`.
`A6450-L2-K4B-01`	principal.application	Diekstrak dari pesan log.
`A6450-L2-X1B-02-01`	principal.application	Diekstrak dari pesan log.
`A6450-L2-X2A-01-01`	principal.application	Diekstrak dari pesan log.
`A6450-L2-X4B-02-01`	principal.application	Diekstrak dari pesan log.
`A6900-L3-LTX0A`	principal.application	Diekstrak dari pesan log.
`Accepted keyboard-interactive/pam`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`b8:53:ac:6e:c9:bc`	principal.mac	Diekstrak dari pesan log.
`BRIDGE(10)`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `id_protocol`.
`CLI log,`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`cmd: show configuration snapshot all,`	security_result.detection_fields.value	Diekstrak dari pesan log dan dipetakan sebagai `cmd`.
`Connection reset by 1.1.2.7 port 60505`	security_result.summary	Diekstrak dari pesan log.
`Dec 7 14:28:40`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 8 04:21:22`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 9 20:08:29`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 9 20:51:34`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 11 10:18:30`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 17 02:14:22`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Dec 19 10:27:33`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Did not receive identification string from 1.1.2.7 port 60588`	security_result.summary	Diekstrak dari pesan log.
`esmSetRateLimit: Txing`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `esm_set_rate_limit`.
`Feb 15 16:29:29`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Feb 16 11:08:45`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`Feb 16 11:08:49`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`flashManager FlashMgr Main info(5) flashMgrValidateImage_exec: valid`	security_result.summary	Diekstrak dari pesan log.
`for ncmadmin from 1.1.1.2 port 59300 ssh2`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`from port 3036 to port 1035`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`IVDELCSW03`	principal.hostname principal.asset.hostname	Diekstrak dari pesan log saat `principal_ip` bukan alamat IP.
`IP-HELPER(22)`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `id_protocol`.
`Jan 16 02:14:13`	metadata.event_timestamp.seconds metadata.event_timestamp.nanos	Diuraikan dari kolom `ts`.
`LLDP(42)`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `id_protocol`.
`limit=997,`	principal.resource.attribute.labels.value	Diekstrak dari pesan log dan dipetakan sebagai `limit`.
`limitType=1`	principal.resource.attribute.labels.value	Diekstrak dari pesan log dan dipetakan sebagai `limitType`.
`lldpProcessLocationIdTLV: Error, LLDP-MED Civic Address LCI len 39 invalid, tlvL`	security_result.summary	Diekstrak dari pesan log.
`Mac Movement for MacAddr: a0:29:19:c0:55:18`	security_result.summary	Diekstrak dari pesan log.
`MacAddr: a0:29:19:c0:55:18`	principal.mac	Diekstrak dari pesan log.
`ncmadmin`	principal.user.userid	Diekstrak dari pesan log.
`OS6360`	principal.hostname principal.asset.hostname	Diekstrak dari pesan log saat `principal_ip` bukan alamat IP.
`result: SUCCESS`	security_result.detection_fields.value	Diekstrak dari pesan log dan dipetakan sebagai `result`.
`SES CMD info(5)`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`STACK-MANAGER`	principal.application	Diekstrak dari pesan log.
`Stack Port A MAC Frames TX/RX Enabled`	security_result.summary	Diekstrak dari pesan log.
`STP(11)`	additional.fields.value.string_value	Diekstrak dari pesan log dan dipetakan sebagai `id_protocol`.
`SWCONSOLE-L2-K0A-01`	target.hostname target.asset.hostname	Diekstrak dari pesan log.
`trafficType=2,`	principal.resource.attribute.labels.value	Diekstrak dari pesan log dan dipetakan sebagai `trafficType`.
`user: ncmadmin`	security_result.summary	Bagian dari kolom `sec_summary` yang diekstrak.
`zslot=0,`	principal.resource.attribute.labels.value	Diekstrak dari pesan log dan dipetakan sebagai `zslot`.
-	additional.fields.key	Nilai yang dikodekan secara permanen: `id_protocol`
-	additional.fields.key	Nilai yang dikodekan secara permanen: `esm_set_rate_limit`
-	additional.fields.key	Nilai yang dikodekan secara permanen: `vlan`
-	metadata.event_type	Ditetapkan ke `GENERIC_EVENT` jika tidak ada jenis lain yang cocok.
-	metadata.product_name	Nilai yang dikodekan secara permanen: `Alcatel Switch`
-	metadata.vendor_name	Nilai yang dikodekan secara permanen: `ALCATEL SWITCH`
-	network.application_protocol	Ditetapkan ke `SSH` jika `id_protocol` cocok dengan `ssh` (tidak peka huruf besar/kecil).
-	principal.resource.attribute.labels.key	Nilai yang dikodekan secara permanen: `limit`
-	principal.resource.attribute.labels.key	Nilai yang dikodekan secara permanen: `trafficType`
-	principal.resource.attribute.labels.key	Nilai yang dikodekan secara permanen: `limitType`
-	principal.resource.attribute.labels.key	Nilai yang dikodekan secara permanen: `zslot`
-	security_result.detection_fields.key	Nilai yang dikodekan secara permanen: `cmd`
-	security_result.detection_fields.key	Nilai yang dikodekan secara permanen: `result`
-	security_result.severity	Ditetapkan ke `INFORMATIONAL` jika `prod_severity` cocok dengan `info` (tidak peka huruf besar/kecil).

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.