本頁面由 Cloud Translation API 翻譯而成。

收集 Dell 交換器記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會擷取 Dell 交換器記錄、將時間戳記標準化，並使用 grok 模式將記錄訊息結構化為鍵/值組合。接著，它會將這些擷取的欄位對應至統合式資料模型 (UDM)，處理各種記錄格式，並使用資產詳細資料和安全性嚴重程度等情境資訊來擴充資料。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您已連上網路，且具備 Dell 交換器的管理員憑證。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 代理程式的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: sell_switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

在 Linux 中，如要重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如要重新啟動 Bindplane 代理程式，可以使用「服務」主控台，也可以輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定從 Dell 交換器匯出系統記錄檔

使用 SSH 或控制台連接埠連線至 Dell 交換器。
使用管理員憑證登入。
使用下列指令指定 Syslog 伺服器的 IP 位址或主機名稱 (將 <syslog_server_ip>、<udp|tcp> 和 <syslog-port-number> 替換為實際詳細資料)：
```
logging host <syslog-server-ip> transport <udp|tcp> port <syslog-port-number>
```
選用：定義要傳送至系統記錄檔伺服器的訊息最低嚴重性等級。舉例來說，如要記錄資訊訊息和更重要的訊息：
```
logging level informational
```
將執行中設定儲存至啟動設定，確保變更在重新啟動後仍會保留：
```
copy running-config startup-config
```
儲存設定：
```
write memory
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`acct`	`principal.user.userid`	如果沒有 `user` 欄位，則會做為 `userid` 使用。
`addr`	`principal.asset.ip`、`principal.ip`	如果這是有效的 IP 位址，且與主機名稱不同，系統會將其剖析為 IP 位址，並用於主體的 IP 和資產 IP。
`application`	`principal.application`	直接對應。
`asset`	`principal.asset.attribute.labels.value`	直接對應至資產標籤值，且鍵已硬式編碼為「資產名稱」。如果資產欄位空白，且訊息包含「Dell」，則資產會設為「Dell」。
`auid`	`principal.resource.attribute.labels.value`	直接對應至 `principal.resource.attribute.labels` 內的鍵 `auid`。
`datetime`	`metadata.event_timestamp`	從訊息欄位的各種格式剖析，並轉換為時間戳記。
`dest_ip`	`target.asset.ip`、`target.ip`	對應至目標 IP 和目標資產 IP。
`enterpriseId`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `enterpriseId` 的標籤。
`exe`	`sec_result.detection_fields.value`	已對應至金鑰為 `exe` 的偵測欄位。
`File`	`target.file.full_path`	直接對應。
`grantors`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `grantors` 的標籤。
`host`	`principal.hostname`、`principal.asset.hostname`、`metadata.event_type`	做為主要主機名稱和資產主機名稱。如果 `host` 存在，`metadata.event_type` 會設為 `STATUS_UPDATE`。如果存在主機名稱但沒有主機，則主機名稱會做為主機使用。
`hostname`	`principal.asset.ip`、`principal.ip`、`host`	如果是有效 IP，則用於主體 IP 和資產 IP。如果 `host` 為空，則會做為 `host` 使用。
`ID`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `ID` 的標籤。
`ip`	`principal.asset.ip`、`principal.ip`	對應至主要 IP 和資產 IP。
`is_synced`	`sec_result.detection_fields.value`	已對應至金鑰為 `is_synced` 的偵測欄位。
`local`	`target.asset.ip`、`target.ip`、`target.port`	經過剖析，可擷取本機 IP 和通訊埠，並對應至目標 IP、目標資產 IP 和目標通訊埠。
`local_ip`	`target.asset.ip`、`target.ip`	從 `local` 欄位擷取，並對應至目標 IP 和目標資產 IP。
`local_port`	`target.port`	從 `local` 欄位擷取，並對應至目標連接埠。
`mac`	`principal.mac`	如果是有效的 MAC 位址，則會對應至主要 MAC 位址。
`msg`	`metadata.description`	如果有的話，會做為活動說明。並剖析其他欄位。
`msg1`	`metadata.description`	如果沒有 `msg2`，則會做為活動說明。
`msg2`	`sec_result.description`、`metadata.event_type`、`extensions.auth.type`	用做安全結果說明。如果包含「opened for user」，事件類型會設為 `USER_LOGIN`，驗證類型則設為 `MACHINE`。如果包含「closed for user」，事件類型會設為 `USER_LOGOUT`，驗證類型則設為 `MACHINE`。
`op`	`metadata.product_event_type`	如有，則做為產品事件類型。
`pid`	`principal.process.pid`	直接對應。
`port`	`principal.port`	直接對應。
`prod_event_type`	`metadata.product_event_type`	如有，則做為產品事件類型。
`res`	`sec_result.summary`	直接對應。
`sec_description`	`sec_result.description`、`target.url`、`target.ip`、`target.asset.ip`、`sec_result.action_details`	系統會剖析目標網址、IP 和動作詳細資料，並做為安全結果說明。
`Server_ID`	`target.resource.product_object_id`	直接對應。
`server`	`principal.asset.ip`、`principal.ip`、`principal.port`	經過剖析後，會擷取伺服器 IP 和通訊埠，並對應至主體 IP、主體資產 IP 和主體通訊埠。
`server_ip`	`principal.asset.ip`、`principal.ip`	從 `server` 欄位擷取，並對應至主體 IP 和主體資產 IP。
`server_port`	`principal.port`	從 `server` 欄位擷取，並對應至主體埠。
`ses`	`network.session_id`	直接對應。
`severity`	`sec_result.severity`、`metadata.product_event_type`	根據特定值判斷安全結果嚴重程度和產品事件類型。
`software`	`principal.asset.software`	直接對應。
`softwareName`	`software.name`	直接對應。
`Status`	`sec_result.summary`	如果沒有 `res`，則會做為安全性結果摘要。
`subj`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `subj` 的標籤。
`swVersion`	`software.version`	直接對應。
`target_host`	`target.hostname`、`target.asset.hostname`	直接對應至目標主機名稱和目標資產主機名稱。
`target_ip`	`target.asset.ip`、`target.ip`	直接對應至目標 IP 和目標資產 IP。
`target_url`	`target.url`	直接對應。
`target_user_id`	`target.user.userid`	直接對應。
`terminal`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `terminal` 的標籤。
`tzknown`	`sec_result.detection_fields.value`	已對應至金鑰為 `tzknown` 的偵測欄位。
`uid`	`principal.resource.attribute.labels.value`	對應至 `principal.resource.attribute.labels` 內索引鍵為 `uid` 的標籤。
`user`	`principal.user.userid`、`metadata.event_type`	做為主要使用者 ID。如果 `user` 存在，`metadata.event_type` 會設為 `USER_UNCATEGORIZED`。
`username`	`target.user.userid`	直接對應至目標使用者 ID。
不適用	`metadata.vendor_name`	硬式編碼為「Dell」。
不適用	`metadata.product_name`	硬式編碼為「Dell Switch」。
不適用	`extensions.auth.type`	針對特定登入/登出事件設為 `MACHINE`。
不適用	`metadata.event_type`	系統會根據各種欄位和條件，透過複雜的邏輯判斷這項值，如未另行設定，則預設為 `GENERIC_EVENT`。可以是 `USER_LOGIN`、`USER_LOGOUT`、`USER_UNCATEGORIZED`、`NETWORK_CONNECTION`、`NETWORK_UNCATEGORIZED`、`STATUS_UPDATE` 或 `GENERIC_EVENT`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。