Raccogliere i log dello switch Extreme Networks

Supportato in:

Questo documento spiega come importare i log degli switch Extreme Networks in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai messaggi syslog utilizzando pattern grok e logica condizionale. Mappa i campi estratti all'UDM, gestendo eventi di accesso, aggiornamenti di stato ed eventi generici, arricchendo i dati con contesto aggiuntivo come protocollo, VLAN e ruoli utente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Accesso con privilegi all'appliance di switch Extreme Networks

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'EXTREME_SWITCH'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog per lo switch Extreme Networks

  1. Accedi allo switch utilizzando la CLI o la console.

  2. Inserisci il comando configure per accedere al livello di configurazione globale:

    device# configure terminal

  3. Inserisci il comando dell'indirizzo IP syslog-server per aggiungere un server syslog:

    • Sostituisci <bindplane-ip> con l'indirizzo IP effettivo dell'agente Bindplane.
    logging syslog-server <bindplane_ip>

  4. Inserisci il comando di formato per configurare il formato RFC-5424 per i messaggi:

    format RFC-5424

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
account_type target.user.user_role Se account_type è "Administrative" o "admin", impostalo su "ADMINISTRATOR". In caso contrario, mappalo su target.user.attribute.roles.name.
application target.application Mappato direttamente.
attr additional.fields Analizzato per estrarre il WWN e creare una coppia chiave-valore con la chiave "wwn" e il WWN estratto come valore stringa.
class additional.fields Crea una coppia chiave-valore con la chiave "class" e il valore del campo class come valore stringa.
Cause additional.fields Crea una coppia chiave-valore con la chiave "Cause" e il valore del campo Cause come valore stringa. Oggetto vuoto creato se non sono presenti campi di autenticazione specifici.
Info security_result.summary Mappato direttamente.
interface additional.fields Crea una coppia chiave-valore con la chiave "interface" e il valore del campo interface come valore stringa.
ip principal.ip Mappato direttamente.
intermediary_ip intermediary.ip Mappato direttamente.
kv_data Varie Utilizzato per estrarre coppie chiave-valore e mapparle a diversi campi UDM in base alla chiave. Ad esempio, VrIpAddr è mappato a intermediary.ip, IP e Addr sono mappati a principal.ip, SlppRxPort è mappato a principal.port e vari campi rc* sono mappati a security_result.detection_fields.
log_data Varie Analizzati per estrarre informazioni su accessi, uscite e altri eventi degli utenti. Utilizzato per compilare campi come principal.ip, principal.resource.name, target.user.userid, target.application, security_result.summary, security_result.description e metadata.description.
log_type additional.fields Crea una coppia chiave-valore con la chiave "log" e il valore del campo log_type come valore stringa.
message Varie Il messaggio di log originale. Analizzato per estrarre vari campi. Il timestamp viene estratto dal campo timestamp (se presente e nel formato "aaaa-mm-ggTHH:mm:ss") o dal campo message utilizzando i pattern grok. Se estratto dal campo del messaggio, è il timestamp all'interno del messaggio di log stesso. Determinato in base alla presenza dei flag has_principal, has_target, user_login e user_logout. Può essere "USER_LOGIN", "USER_LOGOUT", "STATUS_UPDATE" o "GENERIC_EVENT". Mappato dal campo msgid. Valore statico: "EXTREME_SWITCH". Mappato dal campo ver. Valore statico: "EXTREME_SWITCH".
msgid metadata.product_log_id Mappato direttamente.
port principal.port Mappato e convertito direttamente in un numero intero.
protocol additional.fields Crea una coppia chiave-valore con la chiave "Protocol" e il valore del campo protocol come valore stringa.
rcPortVLacpAdminEnable security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcPortVLacpAdminEnable" e il relativo valore.
rcSyslogHostAddress principal.hostname Mappato direttamente.
rcSyslogHostAddressType security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostAddressType" e il relativo valore.
rcSyslogHostEnable security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostEnable" e il relativo valore.
rcSyslogHostFacility security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostFacility" e il relativo valore.
rcSyslogHostMapErrorSeverity security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostMapErrorSeverity" e il relativo valore.
rcSyslogHostMapFatalSeverity security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostMapFatalSeverity" e il relativo valore.
rcSyslogHostMapInfoSeverity security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostMapInfoSeverity" e il relativo valore.
rcSyslogHostMapWarningSeverity security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostMapWarningSeverity" e il relativo valore.
rcSyslogHostRowStatus security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostRowStatus" e il relativo valore.
rcSyslogHostSeverity security_result.detection_fields Crea una coppia chiave-valore con la chiave "rcSyslogHostSeverity" e il relativo valore.
resource principal.resource.name Mappato direttamente.
sec_description security_result.description Mappato direttamente.
seqnum additional.fields Crea una coppia chiave-valore con la chiave "seqnum" e il valore del campo seqnum come valore stringa.
session_id network.session_id Mappato direttamente.
severity security_result.severity Mappato con la conversione: "CRITICAL", "ERROR", "HIGH" sono mappati direttamente; "INFO" è mappato a "INFORMATIONAL"; "WARNING" è mappato a "MEDIUM"; "LOW", "MEDIUM" e "INFORMATIONAL" sono mappati direttamente.
SlppIncomingVlanId additional.fields Crea una coppia chiave-valore con la chiave "SlppIncomingVlanId" e il valore del campo SlppIncomingVlanId come valore stringa.
SlppRxVlan additional.fields Crea una coppia chiave-valore con la chiave "SlppRxVlan" e il valore del campo SlppRxVlan come valore stringa.
SlppSrcMacAddress principal.mac Mappato direttamente.
Status additional.fields Crea una coppia chiave-valore con la chiave "Status" e il valore del campo Status come valore stringa.
swname additional.fields Crea una coppia chiave-valore con la chiave "swname" e il valore del campo swname come valore stringa.
timestamp metadata.event_timestamp Analizzato e convertito in un oggetto timestamp.
tz additional.fields Crea una coppia chiave-valore con la chiave "tz" e il valore del campo tz come valore stringa.
Type additional.fields Crea una coppia chiave-valore con la chiave "Type" e il valore del campo Type come valore stringa.
username target.user.userid Mappato direttamente.
ver metadata.product_version Mappato direttamente.
VrId additional.fields Crea una coppia chiave-valore con la chiave "VrId" e il valore del campo VrId come valore stringa.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.