Aruba ClearPass-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Aruba ClearPass-Logs mit Bindplane erfassen. Der Parser versucht, die eingehenden Logs zu bereinigen und zu strukturieren, indem er überflüssige Felder entfernt und das Nachrichtenformat standardisiert. Je nachdem, ob das Log dem CEF-Format oder einer anderen Struktur entspricht, werden dann eine Kombination aus Grok-Mustern, Schlüssel/Wert-Extraktionen und bedingter Logik verwendet, um relevante Felder dem einheitlichen Datenmodell (Unified Data Model, UDM) zuzuordnen. Schließlich wird jedes Ereignis in einen bestimmten Sicherheitsereignistyp kategorisiert.

Hinweise

• Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
• Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
• Sie benötigen privilegierten Zugriff auf einen Aruba ClearPass.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Greifen Sie auf die Konfigurationsdatei zu:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: CLEARPASS
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Aruba ClearPass-Syslog-Server konfigurieren

1. Melden Sie sich in der ClearPass Policy Manager-Konsole an.
2. Wählen Sie Verwaltung > Externe Server > Syslog-Ziele aus.
3. Klicken Sie auf Hinzufügen.
4. Geben Sie im angezeigten Fenster Syslog-Ziel hinzufügen die folgenden Details an:
   • Hostadresse: Geben Sie die BindPlane-IP-Adresse ein.
   • Serverport: Geben Sie die Bindplane-Portnummer ein.
   • Protokoll: Wählen Sie UDP aus. Je nach Bindplane-Konfiguration können Sie auch TCP auswählen.
5. Klicken Sie auf Speichern.

Syslog-Exportfilter konfigurieren

1. Klicken Sie auf Administration > Externe Server > Syslog-Exportfilter.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie im angezeigten Fenster Syslog-Filter hinzufügen auf dem Tab Allgemein Folgendes an:
   • Name: Geben Sie den Namen des Syslog-Exportfilters basierend auf der Tabelle unter Elemente der Exportvorlage ein.
   • Vorlage exportieren: Wählen Sie die entsprechende Exportvorlage anhand der Tabelle unter Elemente der Exportvorlage aus.
   • Exporttyp für Ereignisformat: Wählen Sie Standard aus.
   • Syslog-Server: Wählen Sie die Bindplane-IP-Adresse aus.
4. Wenn Sie in der Liste Vorlage exportieren die Exportvorlagen Sitzung oder Statistik auswählen, wird der Tab Filter und Spalten aktiviert. Gehen Sie folgendermaßen vor:
   • Klicken Sie auf den Tab Filter und Spalten.
   • Datenfilter: Achten Sie darauf, dass der Standardwert Alle Anfragen ausgewählt ist.
   • Spaltenauswahl: Wählen Sie die vordefinierte Feldgruppe basierend auf der Tabelle unter Elemente der Exportvorlage aus.
   • Ausgewählte Spalten: Prüfen Sie, ob die automatisch ausgefüllten Felder mit der Tabelle unter Vorlagenelemente exportieren übereinstimmen.
   • Klicken Sie auf den Tab Zusammenfassung.
   • Klicken Sie auf Speichern.
5. Wenn Sie in der Liste Exportvorlage die Exportvorlagen Systemereignisse und Audit-Einträge auswählen, ist der Tab Filter und Spalten nicht aktiviert. Klicken Sie auf den Tab Zusammenfassung und dann auf Speichern.
6. Wiederholen Sie die Schritte, um Syslog-Exportfilter für alle Exportvorlagen für Sitzung, Insight, Audit-Logs und Systemereignisse anhand der Details aus der Tabelle in Zusammenfassung der Exportvorlagenelemente hinzuzufügen.

Elemente der Exportvorlage

In der folgenden Tabelle werden die Elemente beschrieben, die Sie für jede Exportvorlage konfigurieren müssen. Die Standardfelder, die unter „Ausgewählte Spalten“ aufgeführt sind, werden für die Ereignisaufschlüsselung unterstützt. Achten Sie darauf, dass alle Felder, die in der Tabelle unter „Ausgewählte Spalten (Standard)“ aufgeführt sind, vorhanden sind und in derselben Reihenfolge angeordnet sind. Erstellen Sie Syslog-Exportfiltervorlagen genau wie in der Tabelle angegeben, einschließlich des Groß-/Kleinschreibungssensitiven Namens des Filters.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten