收集 Aruba ClearPass 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 收集 Aruba ClearPass 日志。解析器会尝试通过移除无关字段和标准化消息格式来清理和结构化传入的日志。然后,根据日志是遵循 CEF 格式还是其他结构,该代码会使用 grok 模式、键值提取和条件逻辑的组合,将相关字段映射到统一数据模型 (UDM),最终将每个事件归类为特定的安全事件类型。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您对 Aruba ClearPass 具有特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLEARPASS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Aruba ClearPass syslog 服务器
- 登录 ClearPass Policy Manager 控制台。
- 依次选择管理 > 外部服务器 > Syslog 目标。
- 点击添加。
- 在随即显示的添加 Syslog 目标窗口中,指定以下详细信息:
- 主机地址:输入 Bindplane IP 地址。
- 服务器端口:输入 Bindplane 端口号。
- 协议:选择 UDP(您也可以根据 Bindplane 配置选择 TCP)。
- 点击保存。
配置 syslog 导出过滤条件
- 依次前往管理 > 外部服务器 > Syslog 导出过滤器。
- 点击添加。
- 在随即显示的添加 Syslog 过滤条件窗口中,在常规标签页中指定以下内容:
- 在导出模板列表中,当您选择会话或数据洞见导出模板时,过滤条件和列标签页会启用。完成以下步骤:
- 在导出模板列表中,当您选择系统事件和审核记录导出模板时,过滤条件和列标签页不会启用。前往摘要标签页,然后点击保存。
- 根据导出模板项摘要中的表格详细信息,重复执行上述步骤,为所有会话、数据洞见、审核记录和系统事件导出模板添加 syslog 导出过滤条件。
导出模板项
下表介绍了您需要为每个导出模板配置的项目。 所选列中列出的默认字段支持事件解析。 确保“所选列(默认)”下的表格中提及的所有字段都存在,并且顺序相同。请务必完全按照表格中提供的格式创建 syslog 导出过滤条件模板,包括区分大小写的过滤条件名称。
| Syslog 导出过滤条件名称(区分大小写) | 导出模板 | 预定义的字段组 | 所选列(默认) |
|---|---|---|---|
| ACPPM_radauth | 数据分析日志 | Radius 身份验证 | Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_radfailedauth | 数据分析日志 | Radius 身份验证失败 | Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_radacct | 数据分析日志 | RADIUS 结算 | Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.Duration Radius.Input-bytes Radius.Output-bytes |
| ACPPM_tacauth | 数据分析日志 | TACACS 身份验证 | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service tacacs.Auth-Source tacacs.Roles tacacs.Enforcement-Profiles tacacs.Privilege-Level |
| ACPPM_tacfailedauth | 数据分析日志 | tacacs 身份验证失败 | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_webauth | 数据分析日志 | WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_webfailedauth | 数据分析日志 | WEBAUTH 身份验证失败 | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_appauth | 数据分析日志 | 应用身份验证 | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_failedappauth | 数据分析日志 | 应用身份验证失败 | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_endpoints | 数据分析日志 | 端点 | Endpoint.MAC-Address Endpoint.MAC-Vendor Endpoint.IP-Address Endpoint.Username Endpoint.Device-Category Endpoint.Device-Family Endpoint.Device-Name Endpoint.Conflict Endpoint.Status Endpoint.Added-At Endpoint.Updated-At |
| ACPPM_cpguest | 数据分析日志 | Clearpass Guest | Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.Enabled Guest.Created-At Guest.Starts-At Guest.Expires-At |
| ACPPM_onbenroll | 数据分析日志 | 加入 Onboard 计划 | OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-At |
| ACPPM_onbcert | 数据分析日志 | Onboard Certificate | OnboardCert.Username OnboardCert.Mac-Address OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At |
| ACPPM_onboscp | 数据分析日志 | 车载 OCSP | OnboardOCSP.Remote-Address OnboardOCSP.Response-Status-Name OnboardOCSP.Timestamp |
| ACPPM_cpsysevent | 数据分析日志 | Clearpass 系统事件 | CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| ACPPM_cpconfaudit | 数据分析日志 | Clearpass 配置审核 | CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-At |
| ACPPM_possummary | 数据分析日志 | 姿势摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy |
| ACPPM_posfwsummary | 数据分析日志 | Posture Firewall 摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output |
| ACPPM_poavsummary | 数据分析日志 | 姿态防病毒摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Endpoint.Antivirus-Output |
| ACPPM_posassummary | 数据分析日志 | Posture 反间谍软件摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output |
| ACPPM_posdskencrpsummary | 数据分析日志 | 姿态 DiskEncryption 摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output |
| ACPPM_loggedusers | 会话日志 | 已登录的用户 | Common.Username Common.Service Common.Roles Common.Host-MAC-Address RADIUS.Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp |
| ACPPM_failedauth | 会话日志 | 身份验证失败 | Common.Username Common.Service Common.Roles RADIUS.Auth-Source RADIUS.Auth-Method Common.System-Posture-Token Common.Enforcement-Profiles Common.Host-MAC-Address Common.NAS-IP-Address Common.Error-Code Common.Alerts Common.Request-Timestamp |
| ACPPM_radacctsession | 会话日志 | RADIUS 结算 | RADIUS.Acct-Username RADIUS.Acct-NAS-IP-Address RADIUS.Acct-NAS-Port RADIUS.Acct-NAS-Port-Type RADIUS.Acct-Calling-Station-Id RADIUS.Acct-Framed-IP-Address RADIUS.Acct-Session-Id RADIUS.Acct-Session-Time RADIUS.Acct-Output-Pkts RADIUS.Acct-Input-Pkts RADIUS.Acct-Output-Octets RADIUS.Acct-Input.Octets RADIUS.Acct-Service-Name RADIUS.Acct-Timestamp |
| ACPPM_tacadmin | 会话日志 | tacacs+ 管理 | Common.Username Common.Service tacacs.Remote-Address tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_tacacct | 会话日志 | tacacs+ 结算 | Common.Username Common.Service tacacs.Remote-Address tacacs.Acct-Flags tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_webauthsession | 会话日志 | Web 身份验证 | Common.Username Common.Host-MAC-Address WEBAUTH.Host-IP-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_guestacc | 会话日志 | 访客访问权限 | Common.Username RADIUS.Auth-Method Common.Host-MAC-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_auditrecords | 审核记录 | 不适用 | 不适用 |
| ACPPM_systemevents | 系统事件 | 不适用 | 不适用 |
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action | 如果“Action”字段的值为“ALLOW”或“BLOCK”,则会映射相应的值 |
| Auth.Enforcement-Profiles | security_result.detection_fields.value | 值是从“Auth.Enforcement-Profiles”字段映射的 |
| Auth.Host-MAC-Address | principal.mac | 在将值转换为以英文冒号分隔的 MAC 地址格式后,从“Auth.Host-MAC-Address”字段映射该值 |
| Auth.Login-Status | security_result.detection_fields.value | 值映射自“Auth.Login-Status”字段 |
| Auth.NAS-IP-Address | target.ip | 值映射自“Auth.NAS-IP-Address”字段 |
| Auth.Protocol | intermediary.application | 值映射自“Auth.Protocol”字段 |
| Auth.Service | security_result.detection_fields.value | 值是从“Auth.Service”字段映射的 |
| Auth.Source | principal.hostname | 值是从“Auth.Source”字段映射的,并移除了所有前导字母数字字符和空格 |
| Auth.Username | principal.user.user_display_name | 值是从“Auth.Username”字段映射的 |
| 类别 | metadata.event_type | 如果值为“Logged in”,则 UDM 字段设置为“USER_LOGIN”。如果值为“已退出登录”,则 UDM 字段设置为“USER_LOGOUT” |
| Common.Alerts | security_result.description | 值从“Common.Alerts”字段映射 |
| Common.Enforcement-Profiles | security_result.detection_fields.value | 值是从“Common.Enforcement-Profiles”字段映射的 |
| Common.Login-Status | security_result.detection_fields.value | 值映射自“Common.Login-Status”字段 |
| Common.NAS-IP-Address | target.ip | 值映射自“Common.NAS-IP-Address”字段 |
| Common.Roles | principal.user.group_identifiers | 值映射自“Common.Roles”字段 |
| Common.Service | security_result.detection_fields.value | 值从“Common.Service”字段映射 |
| Common.Username | principal.user.userid | 值从“Common.Username”字段映射 |
| 组件 | intermediary.application | 值从“组件”字段映射 |
| 说明 | metadata.description | 该值是从“Description”字段映射的,换行符替换为竖线符号。如果“说明”字段包含“用户”“地址”和“角色”,则系统会将其解析为键值对并映射到相应的 UDM 字段。如果“说明”字段包含“无法连接到”,则提取目标主机名并将其映射到“target.hostname” |
| EntityName | principal.hostname | 值是从“EntityName”字段映射的 |
| InterIP | target.ip | 值从“InterIP”字段映射 |
| 级别 | security_result.severity | 如果值为“ERROR”或“FATAL”,则 UDM 字段设置为“HIGH”。如果值为“WARN”,则 UDM 字段设置为“MEDIUM”。如果值为“INFO”或“DEBUG”,则 UDM 字段设置为“LOW” |
| LogNumber | metadata.product_log_id | 值从“LogNumber”字段映射 |
| RADIUS.Acct-Framed-IP-Address | principal.ip | 值映射自“RADIUS.Acct-Framed-IP-Address”字段 |
| 时间戳 | metadata.event_timestamp | 该值在转换为 UTC 并解析为时间戳后,从“时间戳”字段映射而来 |
| 用户 | principal.user.userid | 值是从“用户”字段映射的 |
| agent_ip | principal.ip、principal.asset.ip | 值从“agent_ip”字段映射 |
| 社区 | additional.fields.value.string_value | 值从“社区”字段映射 |
| descr | metadata.description | 值从“descr”字段映射 |
| 企业版 | additional.fields.value.string_value | 值从“enterprise”字段映射 |
| eventDescription | metadata.description | 值是从“eventDescription”字段映射的,并移除了引号 |
| generic_num | additional.fields.value.string_value | 值是从“generic_num”字段映射的 |
| prin_mac | principal.mac | 值从“prin_mac”字段映射而来,并已转换为以英文冒号分隔的 MAC 地址格式 |
| prin_port | principal.port | 值从“prin_port”字段映射并转换为整数 |
| specificTrap_name | additional.fields.value.string_value | 值是从“specificTrap_name”字段映射的 |
| specificTrap_num | additional.fields.value.string_value | 值是从“specificTrap_num”字段映射的 |
| uptime | additional.fields.value.string_value | 值从“正常运行时间”字段映射而来 |
| 版本 | metadata.product_version | 值从“version”字段映射 |
| extensions.auth.type | 值设置为“SSO” | |
| metadata.event_type | 该值是根据各种日志字段和解析器逻辑确定的。如需了解详情,请参阅解析器代码 | |
| metadata.log_type | 值设置为“CLEARPASS” | |
| metadata.product_name | 值设置为“ClearPass” | |
| metadata.vendor_name | 值设置为“ArubaNetworks” |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。