Esta página se ha traducido con Cloud Translation API.

Recoger registros de HP ProCurve

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir los registros del switch HP ProCurve en Google Security Operations mediante Bindplane. El código del analizador primero intenta analizar el mensaje de registro sin formato como JSON. Si no funciona, usa expresiones regulares (patrones grok) para extraer campos del mensaje en función de los formatos de registro habituales de HP ProCurve.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o una versión posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a un switch HP ProCurve

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: HP_PROCURVE
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog en un switch HP ProCurve

Inicia sesión en el switch HP Procurve con SSH.
Verifica la interfaz del conmutador con el siguiente comando:
```
show ip int br
```
Habilita el modo de configuración en el conmutador con el siguiente comando:
```
console# conf t
```

Configura el conmutador para enviar registros con los siguientes comandos:

    logging host <bindplae-server-ip> transport <udp/tcp> port <port-number>
    logging facility syslog
    logging trap informational
    logging buffer 65536
    logging origin-id hostname
    logging source-interface <interface>

Sustituye <bindplae-server-ip> y <port-number> por la dirección IP de Bindplane y el número de puerto.
Sustituye <udp/tcp> seleccionando solo UDP o TCP como protocolo de comunicación (en función de la configuración de tu agente de Bindplane).
Sustituye <interface> por el ID de interfaz que has recibido anteriormente del switch (por ejemplo, Ethernet1/1).
Sal del modo de configuración y guarda los cambios con los siguientes comandos:
```
console# exit
console# wr
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
AAAScheme	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `AAAScheme`
AAAType	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `AAAType`
ID de chasis	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `Chassis ID`
El comando es	read_only_udm.security_result.detection_fields.value	Texto después de `Command is` en el campo `commandInfo`
CommandSource	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `CommandSource`
Config-Method	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `config_method`
ConfigDestination	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `ConfigDestination`
ConfigSource	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `ConfigSource`
Nombre del dispositivo	read_only_udm.principal.hostname	Si el campo existe en el registro, se asigna al nombre de host principal y al nombre de host del recurso.
Event-ID	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `event_id`
EventIndex	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `EventIndex`
IfIndex	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `IfIndex`
IP: %{IP:IPAddr}	read_only_udm.target.ip, read_only_udm.target.asset.ip	Dirección IP extraída del campo `desc` y asignada a la IP de destino y a la IP del activo de destino
IPAddr	read_only_udm.target.ip, read_only_udm.target.asset.ip	Si el campo existe en el registro, se asigna a la IP de destino y a la IP del recurso de destino.
Notice-Type	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `notice_type`
ID de puerto	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `Port ID`
Remote-IP-Address	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `remote_ip_address`
Servicio	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `Service`
Tarea	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `Task`
Usuario	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
User-Name	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
Nombre de usuario	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
UserService	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `desc` si la clave es `UserService`
collection_time.seconds	read_only_udm.metadata.event_timestamp.seconds	Parte de segundos de la marca de tiempo del evento
datos		Este campo contiene el mensaje de registro sin procesar y se analiza para extraer otros campos. No está asignado al UDM.
descendente	read_only_udm.security_result.description	Descripción extraída del mensaje de registro
descrip		Descripción extraída del campo `desc`, que se analiza más a fondo para obtener pares clave-valor. No está asignado al UDM.
description	read_only_udm.security_result.description	Si el campo existe en el registro, se asigna a la descripción del resultado de seguridad.
descript	read_only_udm.metadata.description	Si el campo existe en el registro, se asigna a la descripción de los metadatos.
event_id	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `event_id`
eventId	read_only_udm.metadata.product_event_type	ID de evento extraído del mensaje de registro
nombre de host	read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname	Nombre de host extraído del mensaje de registro y asignado al nombre de host principal y al nombre de host del recurso
inter_ip	read_only_udm.additional.fields.value.string_value, read_only_udm.intermediary.ip	Si el campo existe en el registro y es una IP válida, se asigna a la IP intermediaria. De lo contrario, se colocará en los campos adicionales como `inter_ip`.
notice_type	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `notice_type`
pid	read_only_udm.principal.process.pid	Si el campo existe en el registro, se asigna al PID del proceso principal.
programa		Información del programa extraída del mensaje de registro, que se analiza más a fondo para extraer el módulo, la gravedad y la acción. No está asignado al UDM.
proto	read_only_udm.network.application_protocol, read_only_udm.additional.fields.value.string_value	Protocolo extraído del mensaje de registro. Si coincide con protocolos conocidos, se asigna al protocolo de aplicación. De lo contrario, se colocará en los campos adicionales como `Application Protocol`.
remote_ip_address	read_only_udm.principal.ip, read_only_udm.principal.asset.ip, read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro y es una IP válida, se asigna a la IP principal y a la IP del recurso principal. De lo contrario, se colocará en los campos adicionales como `remote_ip_address`.
gravedad	read_only_udm.security_result.severity, read_only_udm.security_result.severity_details	Gravedad extraída del campo `program` después de dividirla por `/`. Se asigna a los niveles de gravedad de UDM y también se almacena como detalles de gravedad sin procesar.
src_ip	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	La IP de origen se extrae del mensaje de registro y se asigna a la IP principal y a la IP del recurso principal.
status	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `status`
targetHostname	read_only_udm.target.hostname, read_only_udm.target.asset.ip	Si el campo existe en el registro, se asigna al nombre de host de destino y a la IP del recurso de destino.
target_ip	read_only_udm.target.ip, read_only_udm.target.asset.ip	La IP de destino se ha extraído del mensaje de registro y se ha asignado a la IP de destino y a la IP del recurso de destino.
timestamp	read_only_udm.metadata.event_timestamp.seconds	Marca de tiempo extraída del mensaje de registro y convertida en marca de tiempo del evento.
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Parte de segundos de la marca de tiempo del evento
nombre de usuario	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
	read_only_udm.metadata.event_type	Se determina en función de una combinación de campos y lógica: - `NETWORK_CONNECTION`: si `has_principal` y `has_target` son verdaderos. - `USER_LOGOUT`: si `action` es `WEBOPT_LOGOUT`, `LOGOUT` o `SHELL_LOGOUT`. - `USER_LOGIN`: si `action` es `LOGIN` o `WEBOPT_LOGIN_SUC`. - `STATUS_UPDATE`: si `action` no está vacío o `src_ip`/`hostname` no están vacíos. - `USER_UNCATEGORIZED`: si `has_user` es verdadero. - `GENERIC_EVENT`: si no se cumple ninguna de estas condiciones.
	read_only_udm.metadata.product_name	Codificado de forma rígida en `Procurve`
	read_only_udm.metadata.vendor_name	Codificado de forma rígida en `HP`
	read_only_udm.extensions.auth.type	Se asigna el valor `MACHINE` si `event_type` es `USER_LOGOUT` o `USER_LOGIN`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.