Recopila registros del router Nokia

Compatible con:

En este documento, se explica cómo recopilar registros del router de Nokia en Google Security Operations con un agente de Bindplane. Primero, el analizador extrae campos como marcas de tiempo, direcciones IP, nombres de host y detalles del evento con patrones de Grok. Luego, asigna estos campos extraídos a los campos correspondientes en el esquema de UDM de Google SecOps, realiza transformaciones de datos y enriquece los datos con contexto adicional según tipos y condiciones de eventos específicos.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios al router de Nokia.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: NOKIA_ROUTER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en el router de servicio de Nokia

  1. Ingresa al modo de configuración:

    config# log

  2. Define un destino de Syslog:

    config>log# syslog 1

  3. Configura los parámetros de Syslog:

    config>log>syslog# address <syslog-server-ip>
config>log>syslog# port <port-number>
config>log>syslog# facility local0
config>log>syslog# level info
config>log>syslog# log-prefix "Nokia-SR"
config>log>syslog# description "Google SecOps syslog server"
    • Reemplaza <syslog-server-ip> por la dirección IP del agente de Bindplane y <port-number> por el puerto adecuado (por ejemplo, 514 para UDP).

  4. Aplica el destino Syslog a un archivo de registro:

    config>log# log-id 1
config>log>log-id# to syslog 1

  5. Habilita el archivo de registro:

    config>log>log-id# no shutdown

  6. Guarda la configuración:

    config>log>log-id# exit
config>log# save

Ejemplo de configuración completa:

```bash
config# log
config>log# syslog 1
config>log>syslog# address 192.168.1.100
config>log>syslog# port 514
config>log>syslog# facility local0
config>log>syslog# level info
config>log>syslog# log-prefix "Nokia-SR"
config>log>syslog# description "Google SecOps syslog server"
config>log>syslog# exit
config>log# log-id 1
config>log>log-id# to syslog 1
config>log>log-id# no shutdown
config>log>log-id# exit
config>log# save
```

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
%{SYSLOGTIMESTAMP:date_time} metadata.event_timestamp Se extrae del registro sin procesar y se convierte en una marca de tiempo.
%{IP:src_ip} principal.ip Se extrae del registro sin procesar.
%{HOSTNAME:host_name} principal.hostname Se extrae del registro sin procesar.
%{INT:sequence_id} metadata.product_log_id Se extrae del registro sin procesar.
%{DATA:router_name} metadata.product_name Se extrae del registro sin procesar.
%{DATA:application} target.application Se extrae del registro sin procesar.
%{WORD:severity} security_result.severity Se asigna a partir de la gravedad del registro sin procesar según la siguiente lógica:
- CLEARED, INFO -> INFORMATIONAL
- MINOR -> ERROR
- WARNING -> LOW
- MAJOR -> HIGH
- CRITICAL -> CRITICAL
%{DATA:event_name} metadata.product_event_type Se extrae del registro sin procesar.
%{INT:event_id} additional.fields.value.string_value Se extrae del registro sin procesar y se coloca dentro de additional fields con la clave Event Id.
%{GREEDYDATA:message1} Se usa para extraer varios campos según el event_name. A continuación, se muestra la lógica para campos específicos.
Group %{NOTSPACE:group_id} target.group.product_object_id Se extrae de message1 cuando event_name está relacionado con eventos de BGP.
%{WORD} %{IP:dest_ip} target.ip Se extrae de message1 cuando event_name está relacionado con eventos de BGP.
%{GREEDYDATA:desc} security_result.description Se extrae de message1 para diversas situaciones de event_name.
SAP %{DATA:sap_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave SAP Id.
in service %{INT:service_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave Service Id.
\\(customer %{INT:customer_id}\\) additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave Customer Id.
admin=%{WORD:admin_status} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave Admin Status.
oper=%{WORD:operation_status} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave Operation Status.
flags=%{WORD:flag} additional.fields.value.string_value Se extrae de message1 cuando event_name es sapStatusChanged y se coloca dentro de additional fields con la clave Flag.
with MI:SCI %{DATA:mi_sci} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca dentro de additional fields con la clave MI:SCI.
on port %{DATA:port_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca dentro de additional fields con la clave Port Id.
sub-port %{INT:sub_port_id} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca dentro de additional fields con la clave Sub-port Id.
CA %{INT:ca} additional.fields.value.string_value Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished y se coloca dentro de additional fields con la clave CA.
EAPOL-destination %{MAC:dest_mac} target.mac Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished.
local port-id %{DATA:local_port_id} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave local_port_id.
dest-mac-type %{NOTSPACE:mac_type} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave mac_type.
remote system name %{HOSTNAME:dest_host} target.hostname Se extrae de message1 para valores de event_name específicos.
remote chassis-id %{DATA:dest_mac} target.mac Se extrae de message1 para valores de event_name específicos.
remote port-id %{DATA:port_id} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave port_id.
remote-index %{INT:remote_index} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave remote_index.
remote management address %{IP:dest_ip} target.ip Se extrae de message1 para valores de event_name específicos.
advRtr:%{HOSTNAME:dest_host}%{GREEDYDATA}, ip@:%{IP:dest_ip}/%{INT:dest_port} target.hostname, target.ip, target.port Se extrae de message1 para valores de event_name específicos.
SID:%{INT:sid} network.session_id Se extrae de message1 para valores de event_name específicos.
level:%{DATA:level} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave level.
mtid:%{INT:mtid} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave mtid.
type:%{WORD:type} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave type.
flags:%{WORD:flag} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave flag.
, algo:%{INT:algo} target.resource.attribute.labels.value Se extrae de message1 para valores de event_name específicos y se coloca dentro de target.resource.attribute.labels con la clave algo.
Description:%{GREEDYDATA:desc}. security_result.description Se extrae de message1 cuando event_name es mafEntryMatch.
SrcIP principal.ip Se extrae del campo kv_data cuando event_name es mafEntryMatch.
SrcIP: %{INT:src_port} principal.port Se extrae del campo kv_data cuando event_name es mafEntryMatch.
DstIP target.ip Se extrae del campo kv_data cuando event_name es mafEntryMatch.
DstIP: %{INT:dest_port} target.port Se extrae del campo kv_data cuando event_name es mafEntryMatch.
Protocol network.ip_protocol Se extrae del campo kv_data cuando event_name es mafEntryMatch.
N/A metadata.vendor_name Se define en NOKIA_ROUTER.
N/A metadata.event_type Se determina según la presencia y la combinación de los campos extraídos:
- src_ip, dest_ip y network presentes -> NETWORK_CONNECTION
- principal presente -> STATUS_UPDATE
- De lo contrario -> GENERIC_EVENT
%{GREEDYDATA:description} metadata.description Se extrae de message1 cuando event_name es tmnxMkaSessionEstablished.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.