此页面由 Cloud Translation API 翻译。

收集 Dell 交换机日志

支持的语言：

Google SecOps SIEM

此解析器可提取 Dell 交换机日志、对时间戳进行标准化处理，并使用 grok 模式将日志消息结构化为键值对。然后，它会将这些提取的字段映射到统一数据模型 (UDM)，处理各种日志格式，并使用资产详细信息和安全严重程度等上下文信息来丰富数据。

准备工作

确保您拥有 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
确保您已建立有效连接，并且拥有 Dell 交换机的管理员凭据。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 代理的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

在 Linux 中，如需重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如需重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Dell 交换机的 Syslog 导出

使用 SSH 或控制台端口连接到 Dell 交换机。
使用管理员凭据登录。
使用以下命令指定 syslog 服务器的 IP 地址或主机名（将 <syslog_server_ip>、<udp|tcp> 和 <syslog-port-number> 替换为实际详情）：
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
可选：定义要发送到 syslog 服务器的消息的最低严重级别。例如，如需记录信息性消息及更高级别的消息，请执行以下操作：
```
logging level informational
```
将运行配置保存到启动配置，以确保更改在重新启动后仍然有效：
```
copy running-config startup-config
```
保存配置：
```
write memory
```

UDM 映射表

日志字段	UDM 映射	逻辑
`acct`	`principal.user.userid`	如果 `user` 字段不存在，则用作 `userid`。
`addr`	`principal.asset.ip`、`principal.ip`	解析为 IP 地址，如果它是有效的 IP 且与主机名不同，则用于主账号的 IP 和资产 IP。
`application`	`principal.application`	直接映射。
`asset`	`principal.asset.attribute.labels.value`	直接映射到资产标签值，并将键硬编码为“资产名称”。如果资产字段为空，且消息包含“Dell”，则资产设置为“Dell”。
`auid`	`principal.resource.attribute.labels.value`	直接映射到 `principal.resource.attribute.labels` 中键为 `auid` 的标签。
`datetime`	`metadata.event_timestamp`	从消息字段中的各种格式解析并转换为时间戳。
`dest_ip`	`target.asset.ip`、`target.ip`	映射到目标 IP 和目标资产 IP。
`enterpriseId`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `enterpriseId` 的标签。
`exe`	`sec_result.detection_fields.value`	映射到键为 `exe` 的检测字段。
`File`	`target.file.full_path`	直接映射。
`grantors`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `grantors` 的标签。
`host`	`principal.hostname`、`principal.asset.hostname`、`metadata.event_type`	用作主主机名和资源主机名。如果存在 `host`，则 `metadata.event_type` 设置为 `STATUS_UPDATE`。如果存在主机名但不存在主机，则使用主机名作为主机。
`hostname`	`principal.asset.ip`、`principal.ip`、`host`	如果它是有效的 IP，则用于主账号 IP 和资产 IP。如果 `host` 为空，则将其用作 `host`。
`ID`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `ID` 的标签。
`ip`	`principal.asset.ip`、`principal.ip`	映射到主 IP 和资产 IP。
`is_synced`	`sec_result.detection_fields.value`	映射到键为 `is_synced` 的检测字段。
`local`	`target.asset.ip`、`target.ip`、`target.port`	解析以提取本地 IP 和端口，映射到目标 IP、目标资产 IP 和目标端口。
`local_ip`	`target.asset.ip`、`target.ip`	从 `local` 字段中提取，并映射到目标 IP 和目标资产 IP。
`local_port`	`target.port`	从 `local` 字段提取并映射到目标端口。
`mac`	`principal.mac`	如果它是有效的 MAC 地址，则映射到主 MAC 地址。
`msg`	`metadata.description`	如果存在，则用作活动说明。还解析了其他字段。
`msg1`	`metadata.description`	如果不存在 `msg2`，则用作事件说明。
`msg2`	`sec_result.description`、`metadata.event_type`、`extensions.auth.type`	用作安全结果说明。如果包含“opened for user”，则将事件类型设置为 `USER_LOGIN`，并将授权类型设置为 `MACHINE`。如果包含“closed for user”，则将事件类型设置为 `USER_LOGOUT`，并将授权类型设置为 `MACHINE`。
`op`	`metadata.product_event_type`	用作商品事件类型（如果存在）。
`pid`	`principal.process.pid`	直接映射。
`port`	`principal.port`	直接映射。
`prod_event_type`	`metadata.product_event_type`	用作商品事件类型（如果存在）。
`res`	`sec_result.summary`	直接映射。
`sec_description`	`sec_result.description`、`target.url`、`target.ip`、`target.asset.ip`、`sec_result.action_details`	解析为目标网址、IP、操作详细信息，并用作安全结果说明。
`Server_ID`	`target.resource.product_object_id`	直接映射。
`server`	`principal.asset.ip`、`principal.ip`、`principal.port`	经过解析以提取服务器 IP 和端口，映射到主 IP、主资产 IP 和主端口。
`server_ip`	`principal.asset.ip`、`principal.ip`	从 `server` 字段中提取，并映射到主 IP 和主资产 IP。
`server_port`	`principal.port`	从 `server` 字段中提取并映射到主端口。
`ses`	`network.session_id`	直接映射。
`severity`	`sec_result.severity`、`metadata.product_event_type`	用于根据特定值确定安全结果严重程度和产品事件类型。
`software`	`principal.asset.software`	直接映射。
`softwareName`	`software.name`	直接映射。
`Status`	`sec_result.summary`	如果不存在 `res`，则用作安全结果摘要。
`subj`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `subj` 的标签。
`swVersion`	`software.version`	直接映射。
`target_host`	`target.hostname`、`target.asset.hostname`	直接映射到目标主机名和目标资源主机名。
`target_ip`	`target.asset.ip`、`target.ip`	直接映射到目标 IP 和目标资产 IP。
`target_url`	`target.url`	直接映射。
`target_user_id`	`target.user.userid`	直接映射。
`terminal`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `terminal` 的标签。
`tzknown`	`sec_result.detection_fields.value`	映射到键为 `tzknown` 的检测字段。
`uid`	`principal.resource.attribute.labels.value`	映射到 `principal.resource.attribute.labels` 中键为 `uid` 的标签。
`user`	`principal.user.userid`、`metadata.event_type`	用作主用户 ID。如果存在 `user`，则 `metadata.event_type` 设置为 `USER_UNCATEGORIZED`。
`username`	`target.user.userid`	直接映射到目标用户 ID。
不适用	`metadata.vendor_name`	硬编码为“Dell”。
不适用	`metadata.product_name`	硬编码为“Dell Switch”。
不适用	`extensions.auth.type`	对于特定的登录/退出登录事件，请设置为 `MACHINE`。
不适用	`metadata.event_type`	由基于各种字段和条件的复杂逻辑确定，如果未另行设置，则默认为 `GENERIC_EVENT`。可以是 `USER_LOGIN`、`USER_LOGOUT`、`USER_UNCATEGORIZED`、`NETWORK_CONNECTION`、`NETWORK_UNCATEGORIZED`、`STATUS_UPDATE` 或 `GENERIC_EVENT`。