Mengumpulkan log Aruba ClearPass
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Aruba ClearPass menggunakan Bindplane. Parser mencoba membersihkan dan menyusun log yang masuk dengan menghapus kolom yang tidak relevan dan menstandarkan format pesan. Kemudian, bergantung pada apakah log mengikuti format CEF atau struktur yang berbeda, kode menggunakan kombinasi pola grok, ekstraksi nilai kunci, dan logika kondisional untuk memetakan kolom yang relevan ke model data terpadu (UDM), yang pada akhirnya mengategorikan setiap peristiwa ke dalam jenis peristiwa keamanan tertentu.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd. - Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses dengan hak istimewa ke Aruba ClearPass.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps
Akses file konfigurasi:
- Temukan file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Temukan file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLEARPASS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi server syslog Aruba ClearPass
- Login ke konsol ClearPass Policy Manager.
- Pilih Administrasi > Server eksternal > Target syslog.
- Klik Tambahkan.
- Di jendela Tambahkan target syslog yang muncul, tentukan detail berikut:
- Alamat host: masukkan alamat IP Bindplane.
- Server port: masukkan nomor port Bindplane.
- Protocol: pilih UDP (Anda juga dapat memilih TCP, bergantung pada konfigurasi Bindplane Anda).
- Klik Simpan.
Mengonfigurasi filter ekspor syslog
- Buka Administrasi > Server eksternal > Filter ekspor syslog.
- Klik Tambahkan.
- Di jendela Tambahkan Filter Syslog yang muncul, tentukan hal berikut di tab Umum:
- Nama: masukkan nama filter ekspor syslog berdasarkan tabel di Ekspor item template.
- Template ekspor: pilih template ekspor yang sesuai berdasarkan tabel di Item template ekspor.
- Jenis format peristiwa ekspor: pilih Standar.
- Server syslog: pilih alamat IP Bindplane.
- Dalam daftar Template ekspor, saat Anda memilih template ekspor Sesi atau Insight, tab Filter dan kolom akan diaktifkan. Selesaikan langkah-langkah berikut:
- Klik tab Filter dan kolom.
- Filter data: pastikan nilai default Semua permintaan dipilih.
- Pemilihan kolom: pilih grup kolom standar berdasarkan tabel di Ekspor item template.
- Kolom yang dipilih: pastikan kolom yang diisi secara otomatis cocok dengan tabel di Item template ekspor.
- Klik tab Ringkasan.
- Klik Simpan.
- Dalam daftar Template ekspor, saat Anda memilih template ekspor Peristiwa sistem dan Data audit, tab Filter dan kolom tidak diaktifkan. Lanjutkan ke tab Ringkasan, lalu klik Simpan.
- Ulangi langkah-langkah untuk menambahkan filter ekspor syslog untuk semua template ekspor Sesi, Insight, Data audit, dan Peristiwa sistem berdasarkan detail dari tabel di Ringkasan item template ekspor.
Mengekspor item template
Tabel berikut menjelaskan item yang perlu Anda konfigurasi untuk setiap template ekspor. Kolom default yang tercantum di Kolom yang Dipilih didukung untuk penguraian peristiwa. Pastikan semua kolom yang disebutkan dalam tabel di bagian Kolom yang dipilih (default) ada dan dalam urutan yang sama. Pastikan untuk membuat template filter ekspor syslog persis seperti yang diberikan dalam tabel, termasuk nama filter yang peka huruf besar/kecil.
| Nama filter ekspor syslog (peka huruf besar/kecil) | Mengekspor template | Grup kolom standar | Kolom yang dipilih (default) |
|---|---|---|---|
| ACPPM_radauth | Log Insight | Autentikasi Radius | Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_radfailedauth | Log Insight | Autentikasi Gagal Radius | Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_radacct | Log Insight | Akuntansi RADIUS | Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.Duration Radius.Input-bytes Radius.Output-bytes |
| ACPPM_tacauth | Log Insight | Autentikasi tacacs | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service tacacs.Auth-Source tacacs.Roles tacacs.Enforcement-Profiles tacacs.Privilege-Level |
| ACPPM_tacfailedauth | Log Insight | Autentikasi Gagal tacacs | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_webauth | Log Insight | WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_webfailedauth | Log Insight | Autentikasi Gagal WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_appauth | Log Insight | Autentikasi Aplikasi | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_failedappauth | Log Insight | Autentikasi Aplikasi Gagal | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_endpoints | Log Insight | Endpoint | Endpoint.MAC-Address Endpoint.MAC-Vendor Endpoint.IP-Address Endpoint.Username Endpoint.Device-Category Endpoint.Device-Family Endpoint.Device-Name Endpoint.Conflict Endpoint.Status Endpoint.Added-At Endpoint.Updated-At |
| ACPPM_cpguest | Log Insight | Tamu Clearpass | Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.Enabled Guest.Created-At Guest.Starts-At Guest.Expires-At |
| ACPPM_onbenroll | Log Insight | Pendaftaran Aktivasi | OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-At |
| ACPPM_onbcert | Log Insight | Sertifikat Aktivasi | OnboardCert.Username OnboardCert.Mac-Address OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At |
| ACPPM_onboscp | Log Insight | Mengaktifkan OCSP | OnboardOCSP.Remote-Address OnboardOCSP.Response-Status-Name OnboardOCSP.Timestamp |
| ACPPM_cpsysevent | Log Insight | Peristiwa Sistem Clearpass | CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| ACPPM_cpconfaudit | Log Insight | Audit Konfigurasi Clearpass | CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-At |
| ACPPM_possummary | Log Insight | Ringkasan Postur | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy |
| ACPPM_posfwsummary | Log Insight | Ringkasan Postur Firewall | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output |
| ACPPM_poavsummary | Log Insight | Ringkasan Postur Antivirus | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Endpoint.Antivirus-Output |
| ACPPM_posassummary | Log Insight | Ringkasan Postur Antispyware | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output |
| ACPPM_posdskencrpsummary | Log Insight | Ringkasan Postur DiskEncryption | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output |
| ACPPM_loggedusers | Log Sesi | Pengguna yang Login | Common.Username Common.Service Common.Roles Common.Host-MAC-Address RADIUS.Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp |
| ACPPM_failedauth | Log Sesi | Autentikasi Gagal | Common.Username Common.Service Common.Roles RADIUS.Auth-Source RADIUS.Auth-Method Common.System-Posture-Token Common.Enforcement-Profiles Common.Host-MAC-Address Common.NAS-IP-Address Common.Error-Code Common.Alerts Common.Request-Timestamp |
| ACPPM_radacctsession | Log Sesi | Akuntansi RADIUS | RADIUS.Acct-Username RADIUS.Acct-NAS-IP-Address RADIUS.Acct-NAS-Port RADIUS.Acct-NAS-Port-Type RADIUS.Acct-Calling-Station-Id RADIUS.Acct-Framed-IP-Address RADIUS.Acct-Session-Id RADIUS.Acct-Session-Time RADIUS.Acct-Output-Pkts RADIUS.Acct-Input-Pkts RADIUS.Acct-Output-Octets RADIUS.Acct-Input.Octets RADIUS.Acct-Service-Name RADIUS.Acct-Timestamp |
| ACPPM_tacadmin | Log Sesi | Administrasi tacacs+ | Common.Username Common.Service tacacs.Remote-Address tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_tacacct | Log Sesi | Akuntansi tacacs+ | Common.Username Common.Service tacacs.Remote-Address tacacs.Acct-Flags tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_webauthsession | Log Sesi | Autentikasi Web | Common.Username Common.Host-MAC-Address WEBAUTH.Host-IP-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_guestacc | Log Sesi | Akses Tamu | Common.Username RADIUS.Auth-Method Common.Host-MAC-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_auditrecords | Data Audit | Tidak Berlaku | Tidak Berlaku |
| ACPPM_systemevents | Peristiwa Sistem | Tidak Berlaku | Tidak Berlaku |
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| Tindakan | security_result.action | Nilai dipetakan dari kolom 'Action' jika nilainya adalah 'ALLOW' atau 'BLOCK' |
| Auth.Enforcement-Profiles | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Enforcement-Profiles' |
| Auth.Host-MAC-Address | principal.mac | Nilai dipetakan dari kolom 'Auth.Host-MAC-Address' setelah dikonversi ke format alamat MAC yang dipisahkan titik dua |
| Auth.Login-Status | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Login-Status' |
| Auth.NAS-IP-Address | target.ip | Nilai dipetakan dari kolom 'Auth.NAS-IP-Address' |
| Auth.Protocol | intermediary.application | Nilai dipetakan dari kolom 'Auth.Protocol' |
| Auth.Service | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Auth.Service' |
| Auth.Source | principal.hostname | Nilai dipetakan dari kolom 'Auth.Source' setelah menghapus karakter alfanumerik dan spasi di awal |
| Auth.Username | principal.user.user_display_name | Nilai dipetakan dari kolom 'Auth.Username' |
| Kategori | metadata.event_type | Jika nilainya 'Login', kolom UDM ditetapkan ke 'USER_LOGIN'. Jika nilainya 'Logout', kolom UDM ditetapkan ke 'USER_LOGOUT' |
| Common.Alerts | security_result.description | Nilai dipetakan dari kolom 'Common.Alerts' |
| Common.Enforcement-Profiles | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Enforcement-Profiles' |
| Common.Login-Status | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Login-Status' |
| Common.NAS-IP-Address | target.ip | Nilai dipetakan dari kolom 'Common.NAS-IP-Address' |
| Common.Roles | principal.user.group_identifiers | Nilai dipetakan dari kolom 'Common.Roles' |
| Common.Service | security_result.detection_fields.value | Nilai dipetakan dari kolom 'Common.Service' |
| Common.Username | principal.user.userid | Nilai dipetakan dari kolom 'Common.Username' |
| Komponen | intermediary.application | Nilai dipetakan dari kolom 'Komponen' |
| Deskripsi | metadata.description | Nilai dipetakan dari kolom 'Deskripsi' setelah mengganti karakter baris baru dengan simbol pipa. Jika kolom 'Deskripsi' berisi 'Pengguna', 'Alamat', dan 'Peran', kolom tersebut akan diuraikan sebagai pasangan nilai kunci dan dipetakan ke kolom UDM yang sesuai. Jika kolom 'Deskripsi' berisi 'Tidak dapat terhubung dengan', nama host target akan diekstrak dan dipetakan ke 'target.hostname' |
| EntityName | principal.hostname | Nilai dipetakan dari kolom 'EntityName' |
| InterIP | target.ip | Nilai dipetakan dari kolom 'InterIP' |
| Tingkat | security_result.severity | Jika nilainya 'ERROR' atau 'FATAL', kolom UDM ditetapkan ke 'HIGH'. Jika nilainya 'WARN', kolom UDM ditetapkan ke 'MEDIUM'. Jika nilainya 'INFO' atau 'DEBUG', kolom UDM ditetapkan ke 'LOW' |
| LogNumber | metadata.product_log_id | Nilai dipetakan dari kolom 'LogNumber' |
| RADIUS.Acct-Framed-IP-Address | principal.ip | Nilai dipetakan dari kolom 'RADIUS.Acct-Framed-IP-Address' |
| Stempel waktu | metadata.event_timestamp | Nilai dipetakan dari kolom 'Stempel waktu' setelah dikonversi ke UTC dan diuraikan sebagai stempel waktu |
| Pengguna | principal.user.userid | Nilai dipetakan dari kolom 'Pengguna' |
| agent_ip | principal.ip, principal.asset.ip | Nilai dipetakan dari kolom 'agent_ip' |
| komunitas | additional.fields.value.string_value | Nilai dipetakan dari kolom 'komunitas' |
| descr | metadata.description | Nilai dipetakan dari kolom 'descr' |
| perusahaan | additional.fields.value.string_value | Nilai dipetakan dari kolom 'enterprise' |
| eventDescription | metadata.description | Nilai dipetakan dari kolom 'eventDescription' setelah menghapus tanda kutip |
| generic_num | additional.fields.value.string_value | Nilai dipetakan dari kolom 'generic_num' |
| prin_mac | principal.mac | Nilai dipetakan dari kolom 'prin_mac' setelah dikonversi ke format alamat MAC yang dipisahkan titik dua |
| prin_port | principal.port | Nilai dipetakan dari kolom 'prin_port' dan dikonversi menjadi bilangan bulat |
| specificTrap_name | additional.fields.value.string_value | Nilai dipetakan dari kolom 'specificTrap_name' |
| specificTrap_num | additional.fields.value.string_value | Nilai dipetakan dari kolom 'specificTrap_num' |
| waktu beroperasi | additional.fields.value.string_value | Nilai dipetakan dari kolom 'uptime' |
| versi | metadata.product_version | Nilai dipetakan dari kolom 'version' |
| extensions.auth.type | Nilai ditetapkan ke 'SSO' | |
| metadata.event_type | Nilai ditentukan berdasarkan berbagai kolom log dan logika parser. Lihat kode parser untuk mengetahui detailnya | |
| metadata.log_type | Nilai ditetapkan ke 'CLEARPASS' | |
| metadata.product_name | Nilai ditetapkan ke 'ClearPass' | |
| metadata.vendor_name | Nilai ditetapkan ke 'ArubaNetworks' |
Perubahan
2024-09-12
Peningkatan:
- Menambahkan dukungan untuk mengurai format baru log SYSLOG dan JSON.
2024-08-08
Peningkatan:
- Memetakan
Acct-NAS-IP-Addresskeprincipal.ip. - Memetakan
Acct-Usernamekeprincipal.user.userid. - Memetakan
Acct-Calling-Station-Idkeprincipal.user.product_object_id.
2024-05-05
Peningkatan:
- Menangani penguraian log format SYSLOG.
- Memetakan
prin_portkeprincipal.port. - Memetakan
agent_ipkeprincipal.ipdanprincipal.asset.ip. - Memetakan
descrdaneventDescriptionkemetadata.description. - Memetakan
versionkemetadata.product_version. - Memetakan
specificTrap_name,uptime,enterprise,generic_num,specificTrap_num, dancommunitykeadditional.fields.
2024-01-11
Peningkatan:
- Memetakan
Common.NAS-IP-Addressketarget.ip. - Memetakan
Common.Service,Common.Enforcement-Profiles, danCommon.Login-Statuskesecurity_result.detection_fields.
18-08-2022
Peningkatan:
- Menangani log yang dihapus yang dalam format CEF dan log yang tidak diuraikan untuk meningkatkan kecepatan penguraian.
- Memetakan
metadata.event_typekeSTATUS_UPDATEdenganprincipal.hostname/principal.iptidak null, atau memetakan sebagaiGENERIC_EVENT.
2022-07-08
Peningkatan:
- Pemetaan yang diubah untuk
_target_user_groupiddaritarget.user.groupidmenjaditarget.user.group_identifiers. - Pemetaan yang diubah untuk
Common.Rolesdariprincipal.user.groupidmenjadiprincipal.user.group_identifiers.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.