Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del conmutador Dell

Compatible con:

Google SecOps SIEM

Este analizador extrae los registros del conmutador Dell, normaliza las marcas de tiempo y usa patrones de Grok para estructurar el mensaje de registro en pares clave-valor. Luego, asigna estos campos extraídos al modelo de datos unificado (UDM), controla varios formatos de registro y enriquece los datos con información contextual, como detalles de los activos y gravedad de la seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener una conexión activa y credenciales de administrador para un conmutador Dell.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos adicionales de instalación

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
En Windows, para reiniciar el agente de Bindplane, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura la exportación de Syslog desde un conmutador Dell

Conéctate al conmutador Dell con SSH o el puerto de la consola.
Accede con credenciales de administrador.
Usa el siguiente comando para especificar la dirección IP o el nombre de host del servidor de syslog (reemplaza <syslog_server_ip>, <udp|tcp> y <syslog-port-number> por los detalles reales):
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
Opcional: Define el nivel de gravedad mínimo para los mensajes que se enviarán al servidor de syslog. Por ejemplo, para registrar mensajes informativos y superiores, haz lo siguiente:
```
logging level informational
```
Guarda la configuración en ejecución en la configuración de inicio para garantizar que los cambios persistan después de los reinicios:
```
copy running-config startup-config
```
Guarda la configuración:
```
write memory
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`acct`	`principal.user.userid`	Se usa como `userid` si el campo `user` no está presente.
`addr`	`principal.asset.ip`, `principal.ip`	Se analiza como una dirección IP y se usa para la IP principal y la IP del activo si es una IP válida y diferente del nombre de host.
`application`	`principal.application`	Se asigna directamente.
`asset`	`principal.asset.attribute.labels.value`	Se asigna directamente al valor de la etiqueta de activo, con la clave codificada como "Nombre del activo". Si el campo de activo está vacío y el mensaje contiene "Dell", el activo se establece en "Dell".
`auid`	`principal.resource.attribute.labels.value`	Se asigna directamente a una etiqueta con la clave `auid` dentro de `principal.resource.attribute.labels`.
`datetime`	`metadata.event_timestamp`	Se analiza a partir de varios formatos en el campo del mensaje y se convierte en una marca de tiempo.
`dest_ip`	`target.asset.ip`, `target.ip`	Se asigna a la IP de destino y a la IP del activo de destino.
`enterpriseId`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `enterpriseId` dentro de `principal.resource.attribute.labels`.
`exe`	`sec_result.detection_fields.value`	Se asignó a un campo de detección con la clave `exe`.
`File`	`target.file.full_path`	Se asigna directamente.
`grantors`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `grantors` dentro de `principal.resource.attribute.labels`.
`host`	`principal.hostname`, `principal.asset.hostname`, `metadata.event_type`	Se usa como nombre de host principal y nombre de host de recursos. Si `host` está presente, `metadata.event_type` se establece en `STATUS_UPDATE`. Si el nombre de host está presente, pero el host no, se usa el nombre de host como host.
`hostname`	`principal.asset.ip`, `principal.ip`, `host`	Si es una IP válida, se usa para la IP principal y la IP del activo. Si `host` está vacío, se usa como `host`.
`ID`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `ID` dentro de `principal.resource.attribute.labels`.
`ip`	`principal.asset.ip`, `principal.ip`	Se asigna a la IP principal y a la IP del activo.
`is_synced`	`sec_result.detection_fields.value`	Se asignó a un campo de detección con la clave `is_synced`.
`local`	`target.asset.ip`, `target.ip`, `target.port`	Se analizó para extraer la IP y el puerto locales, y se asignó a la IP de destino, la IP del activo de destino y el puerto de destino.
`local_ip`	`target.asset.ip`, `target.ip`	Se extrae del campo `local` y se asigna a la IP de destino y a la IP del activo de destino.
`local_port`	`target.port`	Se extrae del campo `local` y se asigna al puerto de destino.
`mac`	`principal.mac`	Si es una dirección MAC válida, se asigna a la dirección MAC principal.
`msg`	`metadata.description`	Se usa como la descripción del evento si está presente. También se analizó para obtener campos adicionales.
`msg1`	`metadata.description`	Se usa como descripción del evento si no está presente `msg2`.
`msg2`	`sec_result.description`, `metadata.event_type`, `extensions.auth.type`	Se usa como descripción del resultado de seguridad. Si contiene "opened for user", el tipo de evento se establece en `USER_LOGIN` y el tipo de autenticación en `MACHINE`. Si contiene "closed for user", el tipo de evento se establece en `USER_LOGOUT` y el tipo de autenticación en `MACHINE`.
`op`	`metadata.product_event_type`	Se usa como tipo de evento del producto si está presente.
`pid`	`principal.process.pid`	Se asigna directamente.
`port`	`principal.port`	Se asigna directamente.
`prod_event_type`	`metadata.product_event_type`	Se usa como tipo de evento del producto si está presente.
`res`	`sec_result.summary`	Se asigna directamente.
`sec_description`	`sec_result.description`, `target.url`, `target.ip`, `target.asset.ip`, `sec_result.action_details`	Se analiza para obtener la URL de destino, la IP, los detalles de la acción y se usa como descripción del resultado de seguridad.
`Server_ID`	`target.resource.product_object_id`	Se asigna directamente.
`server`	`principal.asset.ip`, `principal.ip`, `principal.port`	Se analizó para extraer la IP y el puerto del servidor, y se asignó a la IP principal, la IP del activo principal y el puerto principal.
`server_ip`	`principal.asset.ip`, `principal.ip`	Se extrae del campo `server` y se asigna a la IP principal y a la IP del activo principal.
`server_port`	`principal.port`	Se extrae del campo `server` y se asigna al puerto principal.
`ses`	`network.session_id`	Se asigna directamente.
`severity`	`sec_result.severity`, `metadata.product_event_type`	Se usa para determinar la gravedad del resultado de seguridad y el tipo de evento del producto según valores específicos.
`software`	`principal.asset.software`	Se asigna directamente.
`softwareName`	`software.name`	Se asigna directamente.
`Status`	`sec_result.summary`	Se usa como resumen del resultado de seguridad si no está presente `res`.
`subj`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `subj` dentro de `principal.resource.attribute.labels`.
`swVersion`	`software.version`	Se asigna directamente.
`target_host`	`target.hostname`, `target.asset.hostname`	Se asigna directamente al nombre de host de destino y al nombre de host del recurso de destino.
`target_ip`	`target.asset.ip`, `target.ip`	Se asigna directamente a la IP de destino y a la IP del activo de destino.
`target_url`	`target.url`	Se asigna directamente.
`target_user_id`	`target.user.userid`	Se asigna directamente.
`terminal`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `terminal` dentro de `principal.resource.attribute.labels`.
`tzknown`	`sec_result.detection_fields.value`	Se asignó a un campo de detección con la clave `tzknown`.
`uid`	`principal.resource.attribute.labels.value`	Se asigna a una etiqueta con la clave `uid` dentro de `principal.resource.attribute.labels`.
`user`	`principal.user.userid`, `metadata.event_type`	Se usa como ID de usuario principal. Si `user` está presente, `metadata.event_type` se establece en `USER_UNCATEGORIZED`.
`username`	`target.user.userid`	Se asigna directamente al ID del usuario objetivo.
N/A	`metadata.vendor_name`	Se codificó como "Dell".
N/A	`metadata.product_name`	Se codificó como "Dell Switch".
N/A	`extensions.auth.type`	Se establece en `MACHINE` para eventos específicos de acceso y salida.
N/A	`metadata.event_type`	Se determina con una lógica compleja basada en varios campos y condiciones. El valor predeterminado es `GENERIC_EVENT` si no se establece de otra manera. Puede ser `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `NETWORK_CONNECTION`, `NETWORK_UNCATEGORIZED`, `STATUS_UPDATE` o `GENERIC_EVENT`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.