Recoger registros del router Nokia

Disponible en:

En este documento se explica cómo recoger registros de routers Nokia en Google Security Operations mediante un agente de Bindplane. El analizador primero extrae campos como marcas de tiempo, direcciones IP, nombres de host y detalles de eventos mediante patrones Grok. A continuación, asigna estos campos extraídos a los campos correspondientes del esquema UDM de Google SecOps, realiza transformaciones de datos y enriquece los datos con contexto adicional en función de tipos y condiciones de eventos específicos.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google SecOps.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso con privilegios al router Nokia.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: NOKIA_ROUTER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Nokia Service Router

  1. Entra en el modo de configuración:

    config# log

  2. Define un destino Syslog:

    config>log# syslog 1

  3. Configurar los parámetros de Syslog:

    config>log>syslog# address <syslog-server-ip>
config>log>syslog# port <port-number>
config>log>syslog# facility local0
config>log>syslog# level info
config>log>syslog# log-prefix "Nokia-SR"
config>log>syslog# description "Google SecOps syslog server"
    • Sustituye <syslog-server-ip> por la dirección IP del agente de Bindplane y <port-number> por el puerto adecuado (por ejemplo, 514 para UDP).

  4. Para aplicar el destino Syslog a un archivo de registro, sigue estos pasos:

    config>log# log-id 1
config>log>log-id# to syslog 1

  5. Habilita el archivo de registro:

    config>log>log-id# no shutdown

  6. Guarda la configuración:

    config>log>log-id# exit
config>log# save

Ejemplo de configuración completa:

```bash
config# log
config>log# syslog 1
config>log>syslog# address 192.168.1.100
config>log>syslog# port 514
config>log>syslog# facility local0
config>log>syslog# level info
config>log>syslog# log-prefix "Nokia-SR"
config>log>syslog# description "Google SecOps syslog server"
config>log>syslog# exit
config>log# log-id 1
config>log>log-id# to syslog 1
config>log>log-id# no shutdown
config>log>log-id# exit
config>log# save
```

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
%{SYSLOGTIMESTAMP:date_time} metadata.event_timestamp Se extrae del registro sin procesar y se convierte en una marca de tiempo.
%{IP:src_ip} principal.ip Extraído del registro sin procesar.
%{HOSTNAME:host_name} principal.hostname Extraído del registro sin procesar.
%{INT:sequence_id} metadata.product_log_id Extraído del registro sin procesar.
%{DATA:router_name} metadata.product_name Extraído del registro sin procesar.
%{DATA:application} target.application Extraído del registro sin procesar.
%{WORD:severity} security_result.severity Se asigna a partir de la gravedad del registro sin procesar según la siguiente lógica:
- CLEARED, INFO -> INFORMATIONAL
- MINOR -> ERROR
- WARNING -> LOW
- MAJOR -> HIGH
- CRITICAL -> CRITICAL
%{DATA:event_name} metadata.product_event_type Extraído del registro sin procesar.
%{INT:event_id} additional.fields.value.string_value Se extrae del registro sin procesar y se coloca en additional fields con la clave Event Id.
%{GREEDYDATA:message1} Se usa para extraer varios campos en función del event_name. Consulta la lógica de campos específicos más abajo.
Group %{NOTSPACE:group_id} target.group.product_object_id Extraído de message1 cuando event_name está relacionado con eventos de BGP.
%{WORD} %{IP:dest_ip} target.ip Extraído de message1 cuando event_name está relacionado con eventos de BGP.
%{GREEDYDATA:desc} security_result.description Extraído de message1 para varios casos prácticos de event_name.
SAP %{DATA:sap_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave SAP Id.
in service %{INT:service_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave Service Id.
\\(customer %{INT:customer_id}\\) additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave Customer Id.
admin=%{WORD:admin_status} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave Admin Status.
oper=%{WORD:operation_status} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave Operation Status.
flags=%{WORD:flag} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca en additional fields con la clave Flag.
with MI:SCI %{DATA:mi_sci} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca en additional fields con la clave MI:SCI.
on port %{DATA:port_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca en additional fields con la clave Port Id.
sub-port %{INT:sub_port_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca en additional fields con la clave Sub-port Id.
CA %{INT:ca} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca en additional fields con la clave CA.
EAPOL-destination %{MAC:dest_mac} target.mac Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished.
local port-id %{DATA:local_port_id} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave local_port_id.
dest-mac-type %{NOTSPACE:mac_type} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave mac_type.
remote system name %{HOSTNAME:dest_host} target.hostname Extraído de message1 para valores event_name específicos.
remote chassis-id %{DATA:dest_mac} target.mac Extraído de message1 para valores event_name específicos.
remote port-id %{DATA:port_id} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave port_id.
remote-index %{INT:remote_index} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave remote_index.
remote management address %{IP:dest_ip} target.ip Extraído de message1 para valores event_name específicos.
advRtr:%{HOSTNAME:dest_host}%{GREEDYDATA}, ip@:%{IP:dest_ip}/%{INT:dest_port} target.hostname, target.ip, target.port Extraído de message1 para valores event_name específicos.
SID:%{INT:sid} network.session_id Extraído de message1 para valores event_name específicos.
level:%{DATA:level} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave level.
mtid:%{INT:mtid} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave mtid.
type:%{WORD:type} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave type.
flags:%{WORD:flag} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave flag.
, algo:%{INT:algo} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca en target.resource.attribute.labels con la clave algo.
Description:%{GREEDYDATA:desc}. security_result.description Se extrae de message1 cuando event_name es mafEntryMatch.
SrcIP principal.ip Se extrae del campo kv_data cuando event_name es mafEntryMatch.
SrcIP: %{INT:src_port} principal.port Se extrae del campo kv_data cuando event_name es mafEntryMatch.
DstIP target.ip Se extrae del campo kv_data cuando event_name es mafEntryMatch.
DstIP: %{INT:dest_port} target.port Se extrae del campo kv_data cuando event_name es mafEntryMatch.
Protocol network.ip_protocol Se extrae del campo kv_data cuando event_name es mafEntryMatch.
N/A metadata.vendor_name Su valor debe ser NOKIA_ROUTER.
N/A metadata.event_type Se determina en función de la presencia y la combinación de los campos extraídos:
- src_ip, dest_ip y network presentes -> NETWORK_CONNECTION
- principal presentes -> STATUS_UPDATE
- De lo contrario -> GENERIC_EVENT
%{GREEDYDATA:description} metadata.description Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.