收集 HP ProCurve 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 HP ProCurve 交换机日志注入到 Google 安全运营中心。解析器代码会先尝试将原始日志消息解析为 JSON。如果失败,则会根据常见的 HP ProCurve 日志格式,使用正则表达式 (grok 模式) 从消息中提取字段。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者搭载 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于打开状态
- 对 HP ProCurve 交换机的特权访问权限
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HP_PROCURVE raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 HP ProCurve Switch 上配置 Syslog
- 使用 SSH 登录 HP Procurve 交换机。
使用以下命令验证交换机接口:
show ip int br使用以下命令在交换机上启用配置模式:
console# conf t使用以下命令配置开关以发送日志:
logging host <bindplae-server-ip> transport <udp/tcp> port <port-number> logging facility syslog logging trap informational logging buffer 65536 logging origin-id hostname logging source-interface <interface>将
<bindplae-server-ip>和<port-number>替换为绑定层 IP 地址和端口号。仅选择 UDP 或 TCP 作为通信协议(具体取决于您的 Bindplane 代理配置),从而替换
<udp/tcp>。将
<interface>替换为您之前从开关收到的接口 ID(例如Ethernet1/1)。使用以下命令退出配置模式并保存:
console# exit console# wr
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AAAScheme | read_only_udm.security_result.detection_fields.value | 如果键为 AAAScheme,则从 descrip 字段中提取的值 |
| AAAType | read_only_udm.security_result.detection_fields.value | 如果键为 AAAType,则从 descrip 字段中提取的值 |
| 底盘 ID | read_only_udm.security_result.detection_fields.value | 如果键为 Chassis ID,则从 description 字段中提取的值 |
| 命令为 | read_only_udm.security_result.detection_fields.value | commandInfo 字段中的 Command is 后面的文本 |
| CommandSource | read_only_udm.security_result.detection_fields.value | 如果键为 CommandSource,则从 descrip 字段中提取的值 |
| Config-Method | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 config_method 放入其他字段中 |
| ConfigDestination | read_only_udm.security_result.detection_fields.value | 如果键为 ConfigDestination,则从 descrip 字段中提取的值 |
| ConfigSource | read_only_udm.security_result.detection_fields.value | 如果键为 ConfigSource,则从 descrip 字段中提取的值 |
| Device-Name | read_only_udm.principal.hostname | 如果日志中存在该字段,则会映射到主账号主机名和资产主机名 |
| Event-ID | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 event_id 放入其他字段中 |
| EventIndex | read_only_udm.security_result.detection_fields.value | 如果键为 EventIndex,则从 descrip 字段中提取的值 |
| IfIndex | read_only_udm.security_result.detection_fields.value | 如果键为 IfIndex,则从 description 字段中提取的值 |
| IP:%{IP:IPAddr} | read_only_udm.target.ip、read_only_udm.target.asset.ip | 从 desc 字段中提取的 IP 地址,已映射到目标 IP 和目标资产 IP |
| IPAddr | read_only_udm.target.ip、read_only_udm.target.asset.ip | 如果日志中存在该字段,则会将其映射到目标 IP 和目标资产 IP |
| Notice-Type | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 notice_type 放入其他字段中 |
| 充电桩 ID | read_only_udm.security_result.detection_fields.value | 如果键为 Port ID,则从 description 字段中提取的值 |
| Remote-IP-Address | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 remote_ip_address 放入其他字段中 |
| 服务 | read_only_udm.security_result.detection_fields.value | 如果键为 Service,则从 descrip 字段中提取的值 |
| 任务 | read_only_udm.security_result.detection_fields.value | 如果键为 Task,则从 descrip 字段中提取的值 |
| 用户 | read_only_udm.principal.user.userid | 如果日志中存在该字段,则会将其映射到主要用户 ID |
| User-Name | read_only_udm.principal.user.userid | 如果日志中存在该字段,则会将其映射到主要用户 ID |
| 用户名 | read_only_udm.principal.user.userid | 如果日志中存在该字段,则会将其映射到主要用户 ID |
| UserService | read_only_udm.security_result.detection_fields.value | 如果键为 UserService,则从 desc 字段中提取的值 |
| collection_time.seconds | read_only_udm.metadata.event_timestamp.seconds | 事件时间戳的秒部分 |
| 数据 | 此字段包含原始日志消息,系统会对其进行解析以提取其他字段。未映射到 UDM。 | |
| 降序 | read_only_udm.security_result.description | 从日志消息中提取的说明 |
| descrip | 从 desc 字段中提取的说明,系统会进一步解析该说明以获取键值对。未映射到 UDM。 |
|
| 说明 | read_only_udm.security_result.description | 如果日志中存在该字段,则会映射到安全结果说明 |
| descript | read_only_udm.metadata.description | 如果日志中存在该字段,则会将其映射到元数据说明 |
| event_id | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 event_id 放入其他字段中 |
| eventId | read_only_udm.metadata.product_event_type | 从日志消息中提取的事件 ID |
| 主机名 | read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname | 从日志消息中提取的主机名,已映射到主要主机名和素材资源主机名 |
| inter_ip | read_only_udm.additional.fields.value.string_value、read_only_udm.intermediary.ip | 如果该字段在日志中存在且是有效 IP 地址,则会映射到中继 IP 地址。否则,系统会将其作为 inter_ip 放入其他字段中 |
| notice_type | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 notice_type 放入其他字段中 |
| pid | read_only_udm.principal.process.pid | 如果日志中存在该字段,则会映射到主要进程 PID |
| 计划 | 从日志消息中提取的程序信息,会进一步解析以提取模块、严重程度和操作。未映射到 UDM。 | |
| proto | read_only_udm.network.application_protocol, read_only_udm.additional.fields.value.string_value | 从日志消息中提取的协议。如果它与已知协议匹配,则会映射到应用协议。否则,系统会将其作为 Application Protocol 放入其他字段中 |
| remote_ip_address | read_only_udm.principal.ip、read_only_udm.principal.asset.ip、read_only_udm.additional.fields.value.string_value | 如果该字段存在于日志中且是有效 IP 地址,则会映射到主 IP 地址和主要资产 IP 地址。否则,系统会将其作为 remote_ip_address 放入其他字段中 |
| 和程度上减少 | read_only_udm.security_result.severity、read_only_udm.security_result.severity_details | 按 / 拆分后从 program 字段中提取的严重级别。它会映射到 UDM 严重级别,并且还会存储为原始严重级别详细信息 |
| src_ip | read_only_udm.principal.ip、read_only_udm.principal.asset.ip | 从日志消息中提取的源 IP,并映射到主 IP 和主资产 IP |
| 状态 | read_only_udm.additional.fields.value.string_value | 如果日志中存在该字段,则会将其作为 status 放入其他字段中 |
| targetHostname | read_only_udm.target.hostname、read_only_udm.target.asset.ip | 如果日志中存在该字段,则会将其映射到目标主机名和目标资产 IP |
| target_ip | read_only_udm.target.ip、read_only_udm.target.asset.ip | 从日志消息中提取的目标 IP,已映射到目标 IP 和目标素材资源 IP |
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds | 从日志消息中提取并转换为事件时间戳的时间戳 |
| timestamp.seconds | read_only_udm.metadata.event_timestamp.seconds | 事件时间戳的秒部分 |
| 用户名 | read_only_udm.principal.user.userid | 如果日志中存在该字段,则会将其映射到主要用户 ID |
| read_only_udm.metadata.event_type | 根据字段和逻辑的组合确定: - NETWORK_CONNECTION:如果 has_principal 和 has_target 为 true。- USER_LOGOUT:如果 action 为 WEBOPT_LOGOUT、LOGOUT 或 SHELL_LOGOUT。- USER_LOGIN:如果 action 为 LOGIN 或 WEBOPT_LOGIN_SUC。- STATUS_UPDATE:如果 action 不为空或 src_ip/hostname 不为空。- USER_UNCATEGORIZED:如果 has_user 为 true。- GENERIC_EVENT:如果不满足上述任何条件。 |
|
| read_only_udm.metadata.product_name | 硬编码为 Procurve |
|
| read_only_udm.metadata.vendor_name | 硬编码为 HP |
|
| read_only_udm.extensions.auth.type | 如果 event_type 为 USER_LOGOUT 或 USER_LOGIN,则设置为 MACHINE |
变化
2024-03-04
增强功能:
- 添加了 Grok 模式来解析无法解析的日志。
- 如果
severity等于DHCP,则将DHCP映射到network.application_protocol。 - 将
severity映射到security_result.severity_details。 - 将
prin_port映射到principal.port。 - 将
pid映射到principal.process.pid。 - 将
descript映射到metadata.description。 - 将
inter_ip映射到intermediary.ip。 - 将
remote_ip_address映射到principal.ip。 - 将
username映射到principal.user.userid。 - 将
status、config_method、event_id和notice_type映射到additional.fields。
2023-09-24
增强功能:
- 添加了 Grok 模式来解析未解析的日志。
- 将
target_mac映射到target.mac。 - 将
msg映射到metadata.description。 - 将
src_mac映射到principal.mac。 - 将
severity映射到security_result.severity。
2023-07-24
增强功能:
- 添加了 Grok 模式,用于解析和映射未解析的日志。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。