Esta página se ha traducido con Cloud Translation API.

Recopilar registros de un switch de Dell

Disponible en:

SecOps de Google SIEM

Este analizador extrae los registros de los switches de Dell, normaliza las marcas de tiempo y usa patrones grok para estructurar el mensaje de registro en pares de clave-valor. A continuación, asigna estos campos extraídos al modelo de datos unificado (UDM), gestiona varios formatos de registro y enriquece los datos con información contextual, como los detalles de los activos y la gravedad de la seguridad.

Antes de empezar

Asegúrate de que tienes una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes una conexión activa y credenciales de administrador para un switch de Dell.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
En Windows, para reiniciar el agente de Bindplane, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar la exportación de Syslog desde un switch de Dell

Conéctate al switch de Dell mediante SSH o el puerto de consola.
Inicia sesión con credenciales de administrador.
Usa el siguiente comando para especificar la dirección IP o el nombre de host del servidor syslog (sustituye <syslog_server_ip>, <udp|tcp> y <syslog-port-number> por los detalles reales):
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
Opcional: Define el nivel mínimo de gravedad de los mensajes que se enviarán al servidor syslog. Por ejemplo, para registrar mensajes informativos y superiores, haz lo siguiente:
```
logging level informational
```
Guarda la configuración activa en la configuración de inicio para que los cambios se conserven después de reiniciar el dispositivo:
```
copy running-config startup-config
```
Guarda la configuración:
```
write memory
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`acct`	`principal.user.userid`	Se usa como `userid` si no está presente el campo `user`.
`addr`	`principal.asset.ip`, `principal.ip`	Se analiza como una dirección IP y se usa para la IP principal y la IP del activo si es una IP válida y diferente del nombre de host.
`application`	`principal.application`	Asignación directa.
`asset`	`principal.asset.attribute.labels.value`	Se asigna directamente al valor de la etiqueta de recurso, con la clave codificada como "Nombre del recurso". Si el campo de recurso está vacío y el mensaje contiene "Dell", el recurso se asigna a "Dell".
`auid`	`principal.resource.attribute.labels.value`	Se asigna directamente a una etiqueta con la clave `auid` en `principal.resource.attribute.labels`.
`datetime`	`metadata.event_timestamp`	Se analiza a partir de varios formatos en el campo de mensaje y se convierte en una marca de tiempo.
`dest_ip`	`target.asset.ip`, `target.ip`	Asignado a la IP de destino y a la IP del recurso de destino.
`enterpriseId`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `enterpriseId` en `principal.resource.attribute.labels`.
`exe`	`sec_result.detection_fields.value`	Se ha asignado a un campo de detección con la clave `exe`.
`File`	`target.file.full_path`	Asignación directa.
`grantors`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `grantors` en `principal.resource.attribute.labels`.
`host`	`principal.hostname`, `principal.asset.hostname` y `metadata.event_type`	Se usa como nombre de host principal y nombre de host de recurso. Si `host` está presente, `metadata.event_type` se asigna a `STATUS_UPDATE`. Si se incluye el nombre de host, pero no el host, se usará el nombre de host como host.
`hostname`	`principal.asset.ip`, `principal.ip` y `host`	Si es una IP válida, se usa para la IP principal y la IP del recurso. Si `host` está vacío, se usa como `host`.
`ID`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `ID` en `principal.resource.attribute.labels`.
`ip`	`principal.asset.ip`, `principal.ip`	Asignado a la IP principal y a la IP del recurso.
`is_synced`	`sec_result.detection_fields.value`	Se ha asignado a un campo de detección con la clave `is_synced`.
`local`	`target.asset.ip`, `target.ip` y `target.port`	Se analiza para extraer la IP y el puerto locales, que se asignan a la IP de destino, la IP del recurso de destino y el puerto de destino.
`local_ip`	`target.asset.ip`, `target.ip`	Se extrae del campo `local` y se asigna a la IP de destino y a la IP del recurso de destino.
`local_port`	`target.port`	Se extrae del campo `local` y se asigna al puerto de destino.
`mac`	`principal.mac`	Si es una dirección MAC válida, se asigna a la dirección MAC principal.
`msg`	`metadata.description`	Se usa como descripción del evento, si está presente. También se analizan campos adicionales.
`msg1`	`metadata.description`	Se usa como descripción del evento si no se incluye `msg2`.
`msg2`	`sec_result.description`, `metadata.event_type` y `extensions.auth.type`	Se usa como descripción del resultado de seguridad. Si contiene "opened for user", el tipo de evento se define como `USER_LOGIN` y el tipo de autenticación como `MACHINE`. Si contiene "closed for user", el tipo de evento se define como `USER_LOGOUT` y el tipo de autenticación como `MACHINE`.
`op`	`metadata.product_event_type`	Se usa como tipo de evento de producto si está presente.
`pid`	`principal.process.pid`	Asignación directa.
`port`	`principal.port`	Asignación directa.
`prod_event_type`	`metadata.product_event_type`	Se usa como tipo de evento de producto si está presente.
`res`	`sec_result.summary`	Asignación directa.
`sec_description`	`sec_result.description`, `target.url`, `target.ip`, `target.asset.ip`, `sec_result.action_details`	Se analiza para obtener la URL de destino, la IP y los detalles de la acción, y se usa como descripción del resultado de seguridad.
`Server_ID`	`target.resource.product_object_id`	Asignación directa.
`server`	`principal.asset.ip`, `principal.ip` y `principal.port`	Se analiza para extraer la IP y el puerto del servidor, que se asignan a la IP principal, la IP del recurso principal y el puerto principal.
`server_ip`	`principal.asset.ip`, `principal.ip`	Se extrae del campo `server` y se asigna a la IP principal y a la IP del recurso principal.
`server_port`	`principal.port`	Se extrae del campo `server` y se asigna al puerto principal.
`ses`	`network.session_id`	Asignación directa.
`severity`	`sec_result.severity`, `metadata.product_event_type`	Se usa para determinar la gravedad del resultado de seguridad y el tipo de evento del producto en función de valores específicos.
`software`	`principal.asset.software`	Asignación directa.
`softwareName`	`software.name`	Asignación directa.
`Status`	`sec_result.summary`	Se usa como resumen del resultado de seguridad si no se incluye `res`.
`subj`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `subj` en `principal.resource.attribute.labels`.
`swVersion`	`software.version`	Asignación directa.
`target_host`	`target.hostname`, `target.asset.hostname`	Se asigna directamente al nombre de host de destino y al nombre de host del recurso de destino.
`target_ip`	`target.asset.ip`, `target.ip`	Se asigna directamente a la IP de destino y a la IP del recurso de destino.
`target_url`	`target.url`	Asignación directa.
`target_user_id`	`target.user.userid`	Asignación directa.
`terminal`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `terminal` en `principal.resource.attribute.labels`.
`tzknown`	`sec_result.detection_fields.value`	Se ha asignado a un campo de detección con la clave `tzknown`.
`uid`	`principal.resource.attribute.labels.value`	Asignado a una etiqueta con la clave `uid` en `principal.resource.attribute.labels`.
`user`	`principal.user.userid`, `metadata.event_type`	Se usa como ID de usuario principal. Si `user` está presente, `metadata.event_type` se asigna a `USER_UNCATEGORIZED`.
`username`	`target.user.userid`	Se asigna directamente al ID de usuario de destino.
N/A	`metadata.vendor_name`	Codificado como "Dell".
N/A	`metadata.product_name`	Se ha codificado como "Dell Switch".
N/A	`extensions.auth.type`	Defina el valor `MACHINE` para eventos de inicio o cierre de sesión específicos.
N/A	`metadata.event_type`	Se determina mediante una lógica compleja basada en varios campos y condiciones. Si no se define de otro modo, el valor predeterminado es `GENERIC_EVENT`. Puede ser `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `NETWORK_CONNECTION`, `NETWORK_UNCATEGORIZED`, `STATUS_UPDATE` o `GENERIC_EVENT`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.