收集 Extreme Networks 交换机日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Extreme Networks 交换机日志注入到 Google Security Operations。解析器使用 Grok 模式和条件逻辑从 syslog 消息中提取字段。它将提取的字段映射到 UDM,处理登录事件、状态更新和通用事件,并使用协议、VLAN 和用户角色等其他上下文信息来丰富数据。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口处于开放状态
- 对 Extreme Networks 交换机设备的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'EXTREME_SWITCH' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 Extreme 网络交换机配置 Syslog
- 使用 CLI 或控制台登录交换机。
输入配置命令以访问全局配置级别:
device# configure terminal输入 syslog-server IP 地址命令以添加 syslog 服务器:
- 将
<bindplane-ip>替换为实际的 Bindplane 代理 IP 地址。
logging syslog-server <bindplane_ip>- 将
输入格式命令,为消息配置 RFC-5424 格式:
format RFC-5424
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
account_type |
target.user.user_role |
如果 account_type 为“Administrative”或“admin”,则设置为“ADMINISTRATOR”。否则,映射到 target.user.attribute.roles.name。 |
application |
target.application |
直接映射。 |
attr |
additional.fields |
经过解析以提取 WWN,并创建一个键值对,其中键为“wwn”,提取的 WWN 为字符串值。 |
class |
additional.fields |
创建一个键值对,其中键为“class”,值为 class 字段的字符串值。 |
Cause |
additional.fields |
创建键为“Cause”且值为 Cause 字段的键值对(字符串值)。如果不存在任何特定的身份验证字段,则会创建空对象。 |
Info |
security_result.summary |
直接映射。 |
interface |
additional.fields |
创建键为“interface”且 interface 字段的值为字符串值的键值对。 |
ip |
principal.ip |
直接映射。 |
intermediary_ip |
intermediary.ip |
直接映射。 |
kv_data |
多项 | 用于提取键值对,并根据键将它们映射到不同的 UDM 字段。例如,VrIpAddr 映射到 intermediary.ip,IP 和 Addr 映射到 principal.ip,SlppRxPort 映射到 principal.port,各种 rc* 字段映射到 security_result.detection_fields。 |
log_data |
多项 | 经过解析,可提取有关用户登录、退出和其他事件的信息。用于填充 principal.ip、principal.resource.name、target.user.userid、target.application、security_result.summary、security_result.description 和 metadata.description 等字段。 |
log_type |
additional.fields |
创建一个键值对,其中键为“log”,值为 log_type 字段的字符串值。 |
message |
多项 | 原始日志消息。经过解析以提取各种字段。时间戳提取自 timestamp 字段(如果存在且采用“yyyy-mm-ddTHH:mm:ss”格式)或使用 grok 模式提取自 message 字段。如果从消息字段中提取,则为日志消息本身内的时间戳。根据是否存在 has_principal、has_target、user_login 和 user_logout 标志来确定。可以是“USER_LOGIN”“USER_LOGOUT”“STATUS_UPDATE”或“GENERIC_EVENT”。从 msgid 字段映射。静态值:“EXTREME_SWITCH”。从 ver 字段映射。静态值:“EXTREME_SWITCH”。 |
msgid |
metadata.product_log_id |
直接映射。 |
port |
principal.port |
直接映射并转换为整数。 |
protocol |
additional.fields |
创建键为“Protocol”且值为 protocol 字段的字符串值的键值对。 |
rcPortVLacpAdminEnable |
security_result.detection_fields |
创建键为“rcPortVLacpAdminEnable”的键值对及其值。 |
rcSyslogHostAddress |
principal.hostname |
直接映射。 |
rcSyslogHostAddressType |
security_result.detection_fields |
创建键为“rcSyslogHostAddressType”的键值对及其值。 |
rcSyslogHostEnable |
security_result.detection_fields |
创建键为“rcSyslogHostEnable”的键值对及其值。 |
rcSyslogHostFacility |
security_result.detection_fields |
创建键为“rcSyslogHostFacility”的键值对及其值。 |
rcSyslogHostMapErrorSeverity |
security_result.detection_fields |
创建键为“rcSyslogHostMapErrorSeverity”的键值对及其值。 |
rcSyslogHostMapFatalSeverity |
security_result.detection_fields |
创建键为“rcSyslogHostMapFatalSeverity”及其值的键值对。 |
rcSyslogHostMapInfoSeverity |
security_result.detection_fields |
创建键为“rcSyslogHostMapInfoSeverity”的键值对及其值。 |
rcSyslogHostMapWarningSeverity |
security_result.detection_fields |
创建键为“rcSyslogHostMapWarningSeverity”及其值的键值对。 |
rcSyslogHostRowStatus |
security_result.detection_fields |
创建键为“rcSyslogHostRowStatus”的键值对及其值。 |
rcSyslogHostSeverity |
security_result.detection_fields |
创建键为“rcSyslogHostSeverity”的键值对及其值。 |
resource |
principal.resource.name |
直接映射。 |
sec_description |
security_result.description |
直接映射。 |
seqnum |
additional.fields |
创建一个键值对,其中键为“seqnum”,值为 seqnum 字段的字符串值。 |
session_id |
network.session_id |
直接映射。 |
severity |
security_result.severity |
已映射并转换:“CRITICAL”“ERROR”“HIGH”直接映射;“INFO”映射为“INFORMATIONAL”;“WARNING”映射为“MEDIUM”;“LOW”“MEDIUM”和“INFORMATIONAL”直接映射。 |
SlppIncomingVlanId |
additional.fields |
创建键为“SlppIncomingVlanId”且值为 SlppIncomingVlanId 字段的字符串值的键值对。 |
SlppRxVlan |
additional.fields |
创建键为“SlppRxVlan”且 SlppRxVlan 字段的值为字符串值的键值对。 |
SlppSrcMacAddress |
principal.mac |
直接映射。 |
Status |
additional.fields |
创建键为“Status”且值为 Status 字段的字符串值的键值对。 |
swname |
additional.fields |
创建键为“swname”且值为 swname 字段的键值对。 |
timestamp |
metadata.event_timestamp |
已解析并转换为时间戳对象。 |
tz |
additional.fields |
创建键为“tz”且 tz 字段的值为字符串值的键值对。 |
Type |
additional.fields |
创建一个键值对,其中键为“Type”,值为 Type 字段的字符串值。 |
username |
target.user.userid |
直接映射。 |
ver |
metadata.product_version |
直接映射。 |
VrId |
additional.fields |
创建键为“VrId”且值为 VrId 字段的字符串值的键值对。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。