Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de HP ProCurve

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros del conmutador HP ProCurve a Google Security Operations con Bindplane. Primero, el código del analizador intenta analizar el mensaje de registro sin procesar como JSON. Si eso falla, usa expresiones regulares (patrones grok) para extraer campos del mensaje según los formatos de registro comunes de HP ProCurve.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Host de Windows 2016 o posterior, o de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
Acceso con privilegios a un conmutador HP ProCurve

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: HP_PROCURVE
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en el conmutador HP ProCurve

Accede al conmutador HP Procurve con SSH.
Verifica la interfaz del conmutador con el siguiente comando:
```
show ip int br
```
Habilita el modo de configuración en el conmutador con el siguiente comando:
```
console# conf t
```

Configura el conmutador para que envíe registros con los siguientes comandos:

    logging host <bindplae-server-ip> transport <udp/tcp> port <port-number>
    logging facility syslog
    logging trap informational
    logging buffer 65536
    logging origin-id hostname
    logging source-interface <interface>

Reemplaza <bindplae-server-ip> y <port-number> por la dirección IP de Bindplane y el número de puerto.
Reemplaza <udp/tcp> seleccionando solo UDP o TCP como protocolo de comunicación (según la configuración de tu agente de Bindplane).
Reemplaza <interface> por el ID de la interfaz que recibiste antes del conmutador (por ejemplo, Ethernet1/1).
Sal del modo de configuración y guarda los cambios con los siguientes comandos:
```
console# exit
console# wr
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
AAAScheme	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `AAAScheme`
AAAType	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `AAAType`
ID del chasis	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `Chassis ID`
El comando es	read_only_udm.security_result.detection_fields.value	Texto después de `Command is` en el campo `commandInfo`
CommandSource	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `CommandSource`
Config-Method	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `config_method`.
ConfigDestination	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `ConfigDestination`
ConfigSource	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `ConfigSource`
Device-Name	read_only_udm.principal.hostname	Si el campo existe en el registro, se asigna al nombre de host principal y al nombre de host del activo.
ID del evento	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `event_id`.
EventIndex	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `EventIndex`
IfIndex	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `IfIndex`
IP: %{IP:IPAddr}	read_only_udm.target.ip, read_only_udm.target.asset.ip	Dirección IP extraída del campo `desc` y asignada a la IP de destino y a la IP del activo de destino
IPAddr	read_only_udm.target.ip, read_only_udm.target.asset.ip	Si el campo existe en el registro, se asigna a la IP de destino y a la IP del activo de destino.
Notice-Type	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `notice_type`.
ID de puerto	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `description` si la clave es `Port ID`
Remote-IP-Address	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `remote_ip_address`.
Servicio	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `Service`
Tarea	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `descrip` si la clave es `Task`
Usuario	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
User-Name	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
UserName	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
UserService	read_only_udm.security_result.detection_fields.value	Valor extraído del campo `desc` si la clave es `UserService`
collection_time.seconds	read_only_udm.metadata.event_timestamp.seconds	Parte de segundos de la marca de tiempo del evento
datos		Este campo contiene el mensaje de registro sin procesar y se analiza para extraer otros campos. No se asigna al UDM.
desc	read_only_udm.security_result.description	Descripción extraída del mensaje de registro
descrip		Es la descripción extraída del campo `desc`, que se analiza aún más para obtener pares clave-valor. No se asigna al UDM.
descripción	read_only_udm.security_result.description	Si el campo existe en el registro, se asigna a la descripción del resultado de seguridad.
descript	read_only_udm.metadata.description	Si el campo existe en el registro, se asigna a la descripción de los metadatos.
event_id	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `event_id`.
eventId	read_only_udm.metadata.product_event_type	ID del evento extraído del mensaje de registro
Nombre de host	read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname	Nombre de host extraído del mensaje de registro y asignado al nombre de host principal y al nombre de host del activo
inter_ip	read_only_udm.additional.fields.value.string_value, read_only_udm.intermediary.ip	Si el campo existe en el registro y es una IP válida, se asigna a la IP intermedia. De lo contrario, se coloca en los campos adicionales como `inter_ip`.
notice_type	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `notice_type`.
pid	read_only_udm.principal.process.pid	Si el campo existe en el registro, se asigna al PID del proceso principal.
programa		Es la información del programa extraída del mensaje de registro, que se analiza aún más para extraer el módulo, la gravedad y la acción. No se asigna al UDM.
protocolo	read_only_udm.network.application_protocol, read_only_udm.additional.fields.value.string_value	Es el protocolo extraído del mensaje de registro. Si coincide con protocolos conocidos, se asigna al protocolo de la aplicación. De lo contrario, se coloca en los campos adicionales como `Application Protocol`.
remote_ip_address	read_only_udm.principal.ip, read_only_udm.principal.asset.ip, read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro y es una IP válida, se asigna a la IP principal y a la IP del activo principal. De lo contrario, se coloca en los campos adicionales como `remote_ip_address`.
gravedad,	read_only_udm.security_result.severity, read_only_udm.security_result.severity_details	Es la gravedad extraída del campo `program` después de dividirla por `/`. Se asigna a los niveles de gravedad del UDM y también se almacena como detalles de gravedad sin procesar.
src_ip	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	IP de origen extraída del mensaje de registro y asignada a la IP principal y a la IP del activo principal
estado	read_only_udm.additional.fields.value.string_value	Si el campo existe en el registro, se coloca en los campos adicionales como `status`.
targetHostname	read_only_udm.target.hostname, read_only_udm.target.asset.ip	Si el campo existe en el registro, se asigna al nombre de host de destino y a la IP del activo de destino.
target_ip	read_only_udm.target.ip, read_only_udm.target.asset.ip	IP de destino extraída del mensaje de registro y asignada a la IP de destino y a la IP del recurso de destino
timestamp	read_only_udm.metadata.event_timestamp.seconds	Marca de tiempo extraída del mensaje de registro y convertida en marca de tiempo del evento
timestamp.seconds	read_only_udm.metadata.event_timestamp.seconds	Parte de segundos de la marca de tiempo del evento
nombre de usuario	read_only_udm.principal.user.userid	Si el campo existe en el registro, se asigna al ID de usuario principal.
	read_only_udm.metadata.event_type	Se determina en función de una combinación de campos y lógica: - `NETWORK_CONNECTION`: Si `has_principal` y `has_target` son verdaderos. - `USER_LOGOUT`: Si `action` es `WEBOPT_LOGOUT`, `LOGOUT` o `SHELL_LOGOUT` - `USER_LOGIN`: Si `action` es `LOGIN` o `WEBOPT_LOGIN_SUC`. - `STATUS_UPDATE`: Si `action` no está vacío o `src_ip`/`hostname` no están vacíos - `USER_UNCATEGORIZED`: Si `has_user` es verdadero. - `GENERIC_EVENT`: Si no se cumple ninguna de estas condiciones.
	read_only_udm.metadata.product_name	Codificado como `Procurve`
	read_only_udm.metadata.vendor_name	Codificado como `HP`
	read_only_udm.extensions.auth.type	Se establece en `MACHINE` si `event_type` es `USER_LOGOUT` o `USER_LOGIN`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.