收集 Brocade ServerIron 記錄

支援的國家/地區:

這個剖析器會使用規則運算式比對,從 Brocade ServerIron 系統記錄訊息中擷取欄位,並將這些欄位對應至統合式資料模型 (UDM)。這項功能可處理各種記錄格式,包括網路狀態、使用者驗證和安全性事件。剖析器會視需要執行資料類型轉換和擴充作業。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您具備 Brocade ServerIron 執行個體的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

  1. 如要在 Windows 上安裝,請執行下列指令碼:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 如要在 Linux 上安裝,請執行下列指令碼:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取安裝 Bindplane 的電腦。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Brocade_ServerIron
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 重新啟動 Bindplane 代理程式,以套用變更:

    sudo systemctl restart bindplane

設定從 Brocade ServerIron ADX 匯出 Syslog

  1. 登入 ADX 裝置並進入全域設定模式:

    enable
configure terminal

  2. 啟用系統記錄檔記錄功能:

    logging on

  3. 指定系統記錄伺服器的 IP 位址或主機名稱和通訊埠,包括所需的通訊協定 (Bindplane):

    logging host <syslog-server-ip> [udp | tcp] port <port-number>

    通訊埠 54525 的 TCP 範例如下:

      logging host 10.10.10.10 tcp port 54525

  4. 選用:設定 Syslog Facility (local0local7):

    logging facility local0

  5. 定義要傳送至系統記錄伺服器的記錄檔最低嚴重性等級:

    logging trap <severity-level>

  6. 儲存設定:

    write memory

UDM 對應表

記錄欄位 UDM 對應 邏輯
%{GREEDYDATA} metadata.description 如果 %{GREEDYDATA} 欄位符合「-- %{GREEDYDATA} --」模式,就會對應至 metadata.description。
%{GREEDYDATA:auth_result} security_result.description 如果存在 %{GREEDYDATA:desc},%{GREEDYDATA:auth_result} 欄位會與 %{GREEDYDATA:desc} 欄位串連,形成 security_result.description。
%{GREEDYDATA:desc} security_result.description %{GREEDYDATA:desc} 欄位用於填入 security_result.description 欄位。視原始記錄格式而定,這個欄位可以與其他欄位串連。
%{GREEDYDATA:login_to} security_result.description 如果存在 %{GREEDYDATA:desc} 欄位,%{GREEDYDATA:login_to} 欄位會與 %{GREEDYDATA:desc} 欄位串連,形成 security_result.description。
%{GREEDYDATA:user} target.user.userid 「%{GREEDYDATA:user}」欄位已對應至 target.user.userid。
%{HOST:principal_host} principal.hostname %{HOST:principal_host} 欄位會對應至 principal.hostname。
%{HOST:target_host} target.hostname %{HOST:target_host} 欄位會對應至 target.hostname。
%{INT:http_port} additional.fields.value.string_value %{INT:http_port} 欄位會對應至 additional.fields.value.string_value,並以「HTTP Port」做為鍵。
%{INT:target_port} target.port %{INT:target_port} 欄位會對應至 target.port,並轉換為整數。
%{INT:telnet_port} additional.fields.value.string_value %{INT:telnet_port} 欄位會對應至 additional.fields.value.string_value,並以「Telnet Port」做為鍵。
%{INT:tftp_port} additional.fields.value.string_value %{INT:tftp_port} 欄位會對應至 additional.fields.value.string_value,且鍵為「TFTP Port」。
%{IP:principal_ip} principal.ip %{IP:principal_ip} 欄位會對應至 principal.ip。
%{IP:target_ip} target.ip %{IP:target_ip} 欄位已對應至 target.ip。
%{IPV4:principal_ip} principal.ip %{IPV4:principal_ip} 欄位會對應至 principal.ip。
%{IPV4:target_ip} target.ip %{IPV4:target_ip} 欄位會對應至 target.ip。
%{MAC:principal_mac} principal.mac %{MAC:principal_mac} 欄位會轉換為 [0-9a-f]{2}:[0-9a-f]{2}:[0-9a-f]{2}:[0-9a-f]{2}:[0-9a-f]{2}:[0-9a-f]{2} 格式,然後對應至 principal.mac。
%{USERNAME:target_host} target.hostname %{USERNAME:target_host} 欄位會對應至 target.hostname。
%{USERNAME:user} target.user.userid 「%{USERNAME:user}」欄位已對應至 target.user.userid。
%{WORD:auth_result} security_result.description 如果存在 %{GREEDYDATA:desc},%{WORD:auth_result} 欄位會與 %{GREEDYDATA:desc} 欄位串連,形成 security_result.description。
%{WORD:proto} network.application_protocol 如果 %{WORD:proto} 欄位的值為「SSH」,則會對應至 network.application_protocol。
時間戳記 metadata.event_timestamp 系統會使用 grok 模式從原始記錄資料剖析時間戳記欄位,並轉換為時間戳記物件。
extensions.auth.type 如果原型欄位不為空白,且 auth_action 欄位為「logout」或「login」,則值會設為「MACHINE」。
metadata.description 如果「metadata_description」欄位不為空白,這個欄位就會填入該欄位的值。
metadata.event_type 系統會根據其他欄位的值,使用條件式邏輯填入這個欄位:
- STATUS_STARTUP:如果 target_port_status 為「up」,
- STATUS_SHUTDOWN:如果 target_port_status 為「down」,
- USER_LOGOUT:如果 proto 不為空白,且 auth_action 為「logout」。
- USER_LOGIN:如果 proto 不為空白,且 auth_action 為「login」。
- STATUS_UPDATE:如果 metadata_description 符合「state changed」,
- GENERIC_EVENT:如果上述條件皆不符合。
metadata.log_type 值會硬式編碼為「BROCADE_SERVERIRON」。
metadata.product_name 值會硬式編碼為「ServerIron」。
metadata.vendor_name 值會硬式編碼為「Brocade」。
security_result.action 如果 desc 欄位包含「fail」,或 auth_result 欄位包含「fail」或「rejected」,則值會設為「BLOCK」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。