Mengumpulkan log Aruba ClearPass
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Aruba ClearPass menggunakan Bindplane. Parser mencoba membersihkan dan menyusun log yang masuk dengan menghapus kolom yang tidak relevan dan menstandardisasi format pesan. Kemudian, bergantung pada apakah log mengikuti format CEF atau struktur yang berbeda, kode menggunakan kombinasi pola grok, ekstraksi key-value, dan logika bersyarat untuk memetakan kolom yang relevan ke model data terpadu (UDM), yang pada akhirnya mengategorikan setiap peristiwa ke dalam jenis peristiwa keamanan tertentu.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd. - Jika berjalan di belakang proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses istimewa ke Aruba ClearPass.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLEARPASS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi server syslog Aruba ClearPass
- Login ke konsol ClearPass Policy Manager.
- Pilih Administration > External servers > Syslog targets.
- Klik Tambahkan.
- Di jendela Add syslog target yang muncul, tentukan detail berikut:
- Alamat host: masukkan alamat IP Bindplane.
- Server port: masukkan nomor port Bindplane.
- Protocol: pilih UDP (Anda juga dapat memilih TCP, bergantung pada konfigurasi Bindplane Anda).
- Klik Simpan.
Mengonfigurasi filter ekspor syslog
- Buka Administrasi > Server eksternal > Filter ekspor syslog.
- Klik Tambahkan.
- Di jendela Add Syslog Filters yang muncul, tentukan hal berikut di tab General:
- Nama: masukkan nama filter ekspor syslog berdasarkan tabel di Item template ekspor.
- Template ekspor: pilih template ekspor yang sesuai berdasarkan tabel di Item template ekspor.
- Jenis format acara ekspor: pilih Standar.
- Server Syslog: pilih alamat IP Bindplane.
- Dalam daftar Template ekspor, saat Anda memilih template ekspor Sesi atau Insight, tab Filter dan kolom akan diaktifkan. Selesaikan langkah-langkah berikut:
- Klik tab Filter dan kolom.
- Filter data: pastikan nilai default Semua permintaan dipilih.
- Pemilihan kolom: pilih grup kolom standar berdasarkan tabel di Item template ekspor.
- Kolom yang dipilih: verifikasi bahwa kolom yang diisi otomatis cocok dengan tabel di Item template ekspor.
- Klik tab Ringkasan.
- Klik Simpan.
- Dalam daftar Template ekspor, saat Anda memilih template ekspor Peristiwa sistem dan Catatan audit, tab Filter dan kolom tidak diaktifkan. Lanjutkan ke tab Ringkasan, lalu klik Simpan.
- Ulangi langkah-langkah untuk menambahkan filter ekspor syslog untuk semua template ekspor Sesi, Insight, Catatan audit, dan Peristiwa sistem berdasarkan detail dari tabel di Ringkasan item template ekspor.
Mengekspor item template
Tabel berikut menjelaskan item yang perlu Anda konfigurasi untuk setiap template ekspor. Kolom default yang tercantum di Kolom yang Dipilih didukung untuk parsing peristiwa. Pastikan semua kolom yang disebutkan dalam tabel di bagian Kolom yang dipilih (default) ada dan dalam urutan yang sama. Pastikan untuk membuat template filter ekspor syslog persis seperti yang disediakan dalam tabel, termasuk nama filter yang peka huruf besar/kecil.
| Nama filter ekspor Syslog (peka huruf besar/kecil) | Mengekspor template | Grup kolom standar | Kolom yang dipilih (default) |
|---|---|---|---|
| ACPPM_radauth | Log Insight | Autentikasi Radius | Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_radfailedauth | Log Insight | Autentikasi Radius Gagal | Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_radacct | Log Insight | Akuntansi RADIUS | Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.Duration Radius.Input-bytes Radius.Output-bytes |
| ACPPM_tacauth | Log Insight | Autentikasi tacacs | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service tacacs.Auth-Source tacacs.Roles tacacs.Enforcement-Profiles tacacs.Privilege-Level |
| ACPPM_tacfailedauth | Log Insight | tacacs Gagal Autentikasi | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_webauth | Log Insight | WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_webfailedauth | Log Insight | Autentikasi Gagal WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_appauth | Log Insight | Autentikasi Aplikasi | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_failedappauth | Log Insight | Autentikasi Aplikasi Gagal | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_endpoints | Log Insight | Endpoint | Endpoint.MAC-Address Endpoint.MAC-Vendor Endpoint.IP-Address Endpoint.Username Endpoint.Device-Category Endpoint.Device-Family Endpoint.Device-Name Endpoint.Conflict Endpoint.Status Endpoint.Added-At Endpoint.Updated-At |
| ACPPM_cpguest | Log Insight | Clearpass Guest | Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.Enabled Guest.Created-At Guest.Starts-At Guest.Expires-At |
| ACPPM_onbenroll | Log Insight | Pendaftaran Orientasi | OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-At |
| ACPPM_onbcert | Log Insight | Sertifikat Onboard | OnboardCert.Username OnboardCert.Mac-Address OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At |
| ACPPM_onboscp | Log Insight | OCSP Onboard | OnboardOCSP.Remote-Address OnboardOCSP.Response-Status-Name OnboardOCSP.Timestamp |
| ACPPM_cpsysevent | Log Insight | Peristiwa Sistem Clearpass | CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| ACPPM_cpconfaudit | Log Insight | Audit Konfigurasi Clearpass | CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-At |
| ACPPM_possummary | Log Insight | Ringkasan Postur | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy |
| ACPPM_posfwsummary | Log Insight | Ringkasan Firewall Postur | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output |
| ACPPM_poavsummary | Log Insight | Ringkasan Antivirus Postur | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Endpoint.Antivirus-Output |
| ACPPM_posassummary | Log Insight | Ringkasan Antispyware Postur | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output |
| ACPPM_posdskencrpsummary | Log Insight | Ringkasan Postur DiskEncryption | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output |
| ACPPM_loggedusers | Log Sesi | Pengguna yang Login | Common.Username Common.Service Common.Roles Common.Host-MAC-Address RADIUS.Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp |
| ACPPM_failedauth | Log Sesi | Autentikasi Gagal | Common.Username Common.Service Common.Roles RADIUS.Auth-Source RADIUS.Auth-Method Common.System-Posture-Token Common.Enforcement-Profiles Common.Host-MAC-Address Common.NAS-IP-Address Common.Error-Code Common.Alerts Common.Request-Timestamp |
| ACPPM_radacctsession | Log Sesi | Akuntansi RADIUS | RADIUS.Acct-Username RADIUS.Acct-NAS-IP-Address RADIUS.Acct-NAS-Port RADIUS.Acct-NAS-Port-Type RADIUS.Acct-Calling-Station-Id RADIUS.Acct-Framed-IP-Address RADIUS.Acct-Session-Id RADIUS.Acct-Session-Time RADIUS.Acct-Output-Pkts RADIUS.Acct-Input-Pkts RADIUS.Acct-Output-Octets RADIUS.Acct-Input.Octets RADIUS.Acct-Service-Name RADIUS.Acct-Timestamp |
| ACPPM_tacadmin | Log Sesi | Administrasi tacacs+ | Common.Username Common.Service tacacs.Remote-Address tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_tacacct | Log Sesi | Akuntansi tacacs+ | Common.Username Common.Service tacacs.Remote-Address tacacs.Acct-Flags tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_webauthsession | Log Sesi | Autentikasi Web | Common.Username Common.Host-MAC-Address WEBAUTH.Host-IP-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_guestacc | Log Sesi | Akses Tamu | Common.Username RADIUS.Auth-Method Common.Host-MAC-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_auditrecords | Catatan Audit | Tidak Berlaku | Tidak Berlaku |
| ACPPM_systemevents | Peristiwa Sistem | Tidak Berlaku | Tidak Berlaku |
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| Tindakan | security_result.action | Nilai dipetakan dari kolom 'Tindakan' jika nilainya adalah 'IZINKAN' atau 'BLOKIR' |
| Auth.Enforcement-Profiles | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Enforcement-Profiles' |
| Auth.Host-MAC-Address | principal.mac | Nilai dipetakan dari kolom 'Auth.Host-MAC-Address' setelah dikonversi ke format alamat MAC yang dipisahkan dengan titik dua |
| Auth.Login-Status | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Login-Status' |
| Auth.NAS-IP-Address | target.ip | Nilai dipetakan dari kolom 'Auth.NAS-IP-Address' |
| Auth.Protocol | intermediary.application | Nilai dipetakan dari kolom 'Auth.Protocol' |
| Auth.Service | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Service' |
| Auth.Source | principal.hostname | Nilai dipetakan dari kolom 'Auth.Source' setelah menghapus karakter alfanumerik dan spasi di bagian awal |
| Auth.Username | principal.user.user_display_name | Nilai dipetakan dari kolom 'Auth.Username' |
| Kategori | metadata.event_type | Jika nilainya adalah 'Logged in', kolom UDM akan disetel ke 'USER_LOGIN'. Jika nilainya 'Logged out', kolom UDM disetel ke 'USER_LOGOUT' |
| Common.Alerts | security_result.description | Nilai dipetakan dari kolom 'Common.Alerts' |
| Common.Enforcement-Profiles | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Enforcement-Profiles' |
| Common.Login-Status | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Login-Status' |
| Common.NAS-IP-Address | target.ip | Nilai dipetakan dari kolom 'Common.NAS-IP-Address' |
| Common.Roles | principal.user.group_identifiers | Nilai dipetakan dari kolom 'Common.Roles' |
| Common.Service | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Service' |
| Common.Username | principal.user.userid | Nilai dipetakan dari kolom 'Common.Username' |
| Komponen | intermediary.application | Nilai dipetakan dari kolom 'Komponen' |
| Deskripsi | metadata.description | Nilai dipetakan dari kolom 'Deskripsi' setelah mengganti karakter baris baru dengan simbol pipa. Jika kolom 'Description' berisi 'User', 'Address', dan 'Role', maka kolom tersebut diuraikan sebagai key-value pair dan dipetakan ke kolom UDM yang sesuai. Jika kolom 'Description' berisi 'Unable connection with', maka nama host target diekstrak dan dipetakan ke 'target.hostname' |
| EntityName | principal.hostname | Nilai dipetakan dari kolom 'EntityName' |
| InterIP | target.ip | Nilai dipetakan dari kolom 'InterIP' |
| Tingkat | security_result.severity | Jika nilainya 'ERROR' atau 'FATAL', kolom UDM ditetapkan ke 'HIGH'. Jika nilainya 'WARN', kolom UDM ditetapkan ke 'MEDIUM'. Jika nilainya 'INFO' atau 'DEBUG', kolom UDM ditetapkan ke 'LOW' |
| LogNumber | metadata.product_log_id | Nilai dipetakan dari kolom 'LogNumber' |
| RADIUS.Acct-Framed-IP-Address | principal.ip | Nilai dipetakan dari kolom 'RADIUS.Acct-Framed-IP-Address' |
| Stempel waktu | metadata.event_timestamp | Nilai dipetakan dari kolom 'Timestamp' setelah dikonversi ke UTC dan diuraikan sebagai stempel waktu |
| Pengguna | principal.user.userid | Nilai dipetakan dari kolom 'Pengguna' |
| agent_ip | principal.ip, principal.asset.ip | Nilai dipetakan dari kolom 'agent_ip' |
| komunitas | additional.fields.value.string_value | Nilai dipetakan dari kolom 'community' |
| descr | metadata.description | Nilai dipetakan dari kolom 'descr' |
| perusahaan | additional.fields.value.string_value | Nilai dipetakan dari kolom 'enterprise' |
| eventDescription | metadata.description | Nilai dipetakan dari kolom 'eventDescription' setelah menghapus tanda petik |
| generic_num | additional.fields.value.string_value | Nilai dipetakan dari kolom 'generic_num' |
| prin_mac | principal.mac | Nilai dipetakan dari kolom 'prin_mac' setelah dikonversi ke format alamat MAC yang dipisahkan dengan titik dua |
| prin_port | principal.port | Nilai dipetakan dari kolom 'prin_port' dan dikonversi menjadi bilangan bulat |
| specificTrap_name | additional.fields.value.string_value | Nilai dipetakan dari kolom 'specificTrap_name' |
| specificTrap_num | additional.fields.value.string_value | Nilai dipetakan dari kolom 'specificTrap_num' |
| waktu beroperasi | additional.fields.value.string_value | Nilai dipetakan dari kolom 'uptime' |
| versi | metadata.product_version | Nilai dipetakan dari kolom 'versi' |
| extensions.auth.type | Nilai ditetapkan ke 'SSO' | |
| metadata.event_type | Nilai ditentukan berdasarkan berbagai kolom log dan logika parser. Lihat kode parser untuk mengetahui detailnya | |
| metadata.log_type | Nilai ditetapkan ke 'CLEARPASS' | |
| metadata.product_name | Nilai ditetapkan ke 'ClearPass' | |
| metadata.vendor_name | Nilai ditetapkan ke 'ArubaNetworks' |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.