Recoger registros de switches de Extreme Networks

Disponible en:

En este documento se explica cómo ingerir registros de switches de Extreme Networks en Google Security Operations mediante Bindplane. El analizador extrae campos de los mensajes syslog mediante patrones grok y lógica condicional. Asigna los campos extraídos al UDM, gestiona los eventos de inicio de sesión, las actualizaciones de estado y los eventos genéricos, y enriquece los datos con contexto adicional, como el protocolo, la VLAN y los roles de usuario.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Acceso privilegiado al dispositivo de conmutación de Extreme Networks

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'EXTREME_SWITCH'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog para un switch de Extreme Networks

  1. Inicia sesión en el switch mediante la CLI o la consola.

  2. Introduce el comando configure para acceder al nivel de configuración global:

    device# configure terminal

  3. Introduce el comando de dirección IP del servidor syslog para añadir un servidor syslog:

    • Sustituye <bindplane-ip> por la dirección IP del agente de Bindplane.
    logging syslog-server <bindplane_ip>

  4. Introduce el comando de formato para configurar el formato RFC-5424 de los mensajes:

    format RFC-5424

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_type target.user.user_role Si account_type es "Administrative" o "admin", asigna el valor "ADMINISTRATOR". De lo contrario, asigna el valor target.user.attribute.roles.name.
application target.application Asignación directa.
attr additional.fields Se analiza para extraer el WWN y crear un par clave-valor con la clave "wwn" y el WWN extraído como valor de cadena.
class additional.fields Crea un par clave-valor con la clave "class" y el valor del campo class como valor de cadena.
Cause additional.fields Crea un par clave-valor con la clave "Cause" y el valor del campo Cause como valor de cadena. Se crea un objeto vacío si no hay ningún campo de autenticación específico.
Info security_result.summary Asignación directa.
interface additional.fields Crea un par clave-valor con la clave "interface" y el valor del campo interface como valor de cadena.
ip principal.ip Asignación directa.
intermediary_ip intermediary.ip Asignación directa.
kv_data Varias Se usa para extraer pares clave-valor y asignarlos a diferentes campos de UDM en función de la clave. Por ejemplo, VrIpAddr se asigna a intermediary.ip, IP y Addr se asignan a principal.ip, SlppRxPort se asigna a principal.port y varios campos rc* se asignan a security_result.detection_fields.
log_data Varias Se analiza para extraer información sobre los inicios y cierres de sesión de los usuarios, así como otros eventos. Se usa para rellenar campos como principal.ip, principal.resource.name, target.user.userid, target.application, security_result.summary, security_result.description y metadata.description.
log_type additional.fields Crea un par clave-valor con la clave "log" y el valor del campo log_type como valor de cadena.
message Varias El mensaje de registro original. Se analiza para extraer varios campos. La marca de tiempo se extrae del campo timestamp (si está presente y tiene el formato "aaaa-mm-ddTHH:mm:ss") o del campo message mediante patrones grok. Si se extrae del campo de mensaje, es la marca de tiempo del propio mensaje de registro. Se determina en función de la presencia de las marcas has_principal, has_target, user_login y user_logout. Puede ser "USER_LOGIN", "USER_LOGOUT", "STATUS_UPDATE" o "GENERIC_EVENT". Asignado desde el campo msgid. Valor estático: "EXTREME_SWITCH". Asignado desde el campo ver. Valor estático: "EXTREME_SWITCH".
msgid metadata.product_log_id Asignación directa.
port principal.port Se asigna y se convierte directamente en un número entero.
protocol additional.fields Crea un par clave-valor con la clave "Protocol" y el valor del campo protocol como valor de cadena.
rcPortVLacpAdminEnable security_result.detection_fields Crea un par clave-valor con la clave "rcPortVLacpAdminEnable" y su valor.
rcSyslogHostAddress principal.hostname Asignación directa.
rcSyslogHostAddressType security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostAddressType" y su valor.
rcSyslogHostEnable security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostEnable" y su valor.
rcSyslogHostFacility security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostFacility" y su valor.
rcSyslogHostMapErrorSeverity security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostMapErrorSeverity" y su valor.
rcSyslogHostMapFatalSeverity security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostMapFatalSeverity" y su valor.
rcSyslogHostMapInfoSeverity security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostMapInfoSeverity" y su valor.
rcSyslogHostMapWarningSeverity security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostMapWarningSeverity" y su valor.
rcSyslogHostRowStatus security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostRowStatus" y su valor.
rcSyslogHostSeverity security_result.detection_fields Crea un par clave-valor con la clave "rcSyslogHostSeverity" y su valor.
resource principal.resource.name Asignación directa.
sec_description security_result.description Asignación directa.
seqnum additional.fields Crea un par clave-valor con la clave "seqnum" y el valor del campo seqnum como valor de cadena.
session_id network.session_id Asignación directa.
severity security_result.severity Asignación con conversión: "CRITICAL", "ERROR" y "HIGH" se asignan directamente; "INFO" se asigna a "INFORMATIONAL"; "WARNING" se asigna a "MEDIUM"; "LOW", "MEDIUM" y "INFORMATIONAL" se asignan directamente.
SlppIncomingVlanId additional.fields Crea un par clave-valor con la clave "SlppIncomingVlanId" y el valor del campo SlppIncomingVlanId como valor de cadena.
SlppRxVlan additional.fields Crea un par clave-valor con la clave "SlppRxVlan" y el valor del campo SlppRxVlan como valor de cadena.
SlppSrcMacAddress principal.mac Asignación directa.
Status additional.fields Crea un par clave-valor con la clave "Status" y el valor del campo Status como valor de cadena.
swname additional.fields Crea un par clave-valor con la clave "swname" y el valor del campo swname como valor de cadena.
timestamp metadata.event_timestamp Analizado y convertido en un objeto de marca de tiempo.
tz additional.fields Crea un par clave-valor con la clave "tz" y el valor del campo tz como valor de cadena.
Type additional.fields Crea un par clave-valor con la clave "Type" y el valor del campo Type como valor de cadena.
username target.user.userid Asignación directa.
ver metadata.product_version Asignación directa.
VrId additional.fields Crea un par clave-valor con la clave "VrId" y el valor del campo VrId como valor de cadena.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.