收集 Aruba ClearPass 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane 收集 Aruba ClearPass 記錄。剖析器會嘗試清除並建構傳入的記錄,方法是移除多餘的欄位,並將訊息格式標準化。然後,程式碼會根據記錄是否採用 CEF 格式或其他結構,使用 grok 模式、鍵值擷取和條件邏輯的組合,將相關欄位對應至統一資料模型 (UDM),最終將每個事件歸類為特定安全事件類型。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載
systemd的 Linux 主機。 - 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
- 確認您具備 Aruba ClearPass 的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLEARPASS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
設定 Aruba ClearPass Syslog 伺服器
- 登入 ClearPass Policy Manager 控制台。
- 依序選取「管理」>「外部伺服器」>「系統記錄目標」。
- 按一下「新增」。
- 在隨即顯示的「Add syslog target」(新增系統記錄目標) 視窗中,指定下列詳細資料:
- 主機位址:輸入 Bindplane IP 位址。
- 伺服器通訊埠:輸入 Bindplane 通訊埠號碼。
- 通訊協定:選取「UDP」 (您也可以選取「TCP」,視 Bindplane 設定而定)。
- 按一下 [儲存]。
設定系統記錄匯出篩選器
- 依序前往「Administration」(管理) >「External servers」(外部伺服器) >「Syslog export filters」(系統記錄匯出篩選器)。
- 按一下「新增」。
- 在隨即顯示的「Add Syslog Filters」(新增系統記錄篩選器) 視窗中,於「General」(一般) 分頁中指定下列項目:
- 在「匯出範本」清單中,選取「工作階段」或「洞察」匯出範本時,「篩選器和欄」分頁會啟用。完成下列步驟:
- 在「匯出範本」清單中,選取「系統事件」和「稽核記錄」匯出範本時,「篩選器和欄」分頁不會啟用。前往「摘要」分頁,然後按一下「儲存」。
- 根據「匯出範本項目摘要」表格中的詳細資料,針對所有「工作階段」、「洞察」、「稽核記錄」和「系統事件」匯出範本,重複執行步驟來新增 Syslog 匯出篩選器。
匯出範本項目
下表說明每個匯出範本需要設定的項目。 「所選欄」中列出的預設欄位支援事件剖析。 請確認「選取的資料欄 (預設)」表格中提及的所有欄位都存在,且順序相同。請務必按照表格中的範本建立系統記錄匯出篩選器,包括篩選器的名稱 (區分大小寫)。
| Syslog 匯出篩選器名稱 (區分大小寫) | 匯出範本 | 預先定義的欄位群組 | 所選資料欄 (預設) |
|---|---|---|---|
| ACPPM_radauth | 洞察記錄 | Radius 驗證 | Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_radfailedauth | 洞察記錄 | Radius 驗證失敗 | Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_radacct | 洞察記錄 | RADIUS 帳務 | Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.Duration Radius.Input-bytes Radius.Output-bytes |
| ACPPM_tacauth | 洞察記錄 | tacacs 驗證 | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service tacacs.Auth-Source tacacs.Roles tacacs.Enforcement-Profiles tacacs.Privilege-Level |
| ACPPM_tacfailedauth | 洞察記錄 | tacacs Failed Authentication | tacacs.Username tacacs.Remote-Address tacacs.Request-Type tacacs.NAS-IP-Address tacacs.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_webauth | 洞察記錄 | WEBAUTH | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_webfailedauth | 洞察記錄 | WEBAUTH 驗證失敗 | Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_appauth | 洞察記錄 | 應用程式驗證 | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| ACPPM_failedappauth | 洞察記錄 | 應用程式驗證失敗 | Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.Login-Status Auth.Service CppmErrorCode.Error-Code-Details CppmAlert.Alerts |
| ACPPM_endpoints | 洞察記錄 | 端點 | Endpoint.MAC-Address Endpoint.MAC-Vendor Endpoint.IP-Address Endpoint.Username Endpoint.Device-Category Endpoint.Device-Family Endpoint.Device-Name Endpoint.Conflict Endpoint.Status Endpoint.Added-At Endpoint.Updated-At |
| ACPPM_cpguest | 洞察記錄 | Clearpass Guest | Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.Enabled Guest.Created-At Guest.Starts-At Guest.Expires-At |
| ACPPM_onbenroll | 洞察記錄 | Onboard Enrollment | OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-At |
| ACPPM_onbcert | 洞察記錄 | Onboard Certificate | OnboardCert.Username OnboardCert.Mac-Address OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At |
| ACPPM_onboscp | 洞察記錄 | 啟用 OCSP | OnboardOCSP.Remote-Address OnboardOCSP.Response-Status-Name OnboardOCSP.Timestamp |
| ACPPM_cpsysevent | 洞察記錄 | Clearpass 系統事件 | CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| ACPPM_cpconfaudit | 洞察記錄 | Clearpass 設定稽核 | CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-At |
| ACPPM_possummary | 洞察記錄 | 防護機制摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy |
| ACPPM_posfwsummary | 洞察記錄 | 防護機制防火牆摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output |
| ACPPM_poavsummary | 洞察記錄 | 防毒軟體防護機制摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Endpoint.Antivirus-Output |
| ACPPM_posassummary | 洞察記錄 | 防間諜軟體防護機制摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output |
| ACPPM_posdskencrpsummary | 洞察記錄 | 防護機制磁碟加密摘要 | Endpoint.MAC-Address Endpoint.IP-Address Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output |
| ACPPM_loggedusers | 工作階段記錄 | 已登入的使用者 | Common.Username Common.Service Common.Roles Common.Host-MAC-Address RADIUS.Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp |
| ACPPM_failedauth | 工作階段記錄 | 驗證失敗 | Common.Username Common.Service Common.Roles RADIUS.Auth-Source RADIUS.Auth-Method Common.System-Posture-Token Common.Enforcement-Profiles Common.Host-MAC-Address Common.NAS-IP-Address Common.Error-Code Common.Alerts Common.Request-Timestamp |
| ACPPM_radacctsession | 工作階段記錄 | RADIUS 帳務 | RADIUS.Acct-Username RADIUS.Acct-NAS-IP-Address RADIUS.Acct-NAS-Port RADIUS.Acct-NAS-Port-Type RADIUS.Acct-Calling-Station-Id RADIUS.Acct-Framed-IP-Address RADIUS.Acct-Session-Id RADIUS.Acct-Session-Time RADIUS.Acct-Output-Pkts RADIUS.Acct-Input-Pkts RADIUS.Acct-Output-Octets RADIUS.Acct-Input.Octets RADIUS.Acct-Service-Name RADIUS.Acct-Timestamp |
| ACPPM_tacadmin | 工作階段記錄 | tacacs+ 管理 | Common.Username Common.Service tacacs.Remote-Address tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_tacacct | 工作階段記錄 | tacacs+ 帳戶 | Common.Username Common.Service tacacs.Remote-Address tacacs.Acct-Flags tacacs.Privilege.Level Common.Request-Timestamp |
| ACPPM_webauthsession | 工作階段記錄 | 網路驗證 | Common.Username Common.Host-MAC-Address WEBAUTH.Host-IP-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_guestacc | 工作階段記錄 | 訪客存取權 | Common.Username RADIUS.Auth-Method Common.Host-MAC-Address Common.Roles Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| ACPPM_auditrecords | 稽核記錄 | 不適用 | 不適用 |
| ACPPM_systemevents | 系統事件 | 不適用 | 不適用 |
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 動作 | security_result.action | 如果「動作」欄位的值為「ALLOW」或「BLOCK」,系統會從該欄位對應值 |
| Auth.Enforcement-Profiles | security_result.detection_fields.value | 值是從「Auth.Enforcement-Profiles」欄位對應而來 |
| Auth.Host-MAC-Address | principal.mac | 將「Auth.Host-MAC-Address」欄位轉換為以半形冒號分隔的 MAC 位址格式後,系統會對應該欄位的值 |
| Auth.Login-Status | security_result.detection_fields.value | 值是從「Auth.Login-Status」欄位對應而來 |
| Auth.NAS-IP-Address | target.ip | 值是從「Auth.NAS-IP-Address」欄位對應而來 |
| Auth.Protocol | intermediary.application | 值是從「Auth.Protocol」欄位對應而來 |
| Auth.Service | security_result.detection_fields.value | 值是從「Auth.Service」欄位對應而來 |
| Auth.Source | principal.hostname | 從「Auth.Source」欄位對應值,並移除任何前置英數字元和空格 |
| Auth.Username | principal.user.user_display_name | 值是從「Auth.Username」欄位對應而來 |
| 類別 | metadata.event_type | 如果值為「Logged in」,UDM 欄位會設為「USER_LOGIN」。如果值為「Logged out」,UDM 欄位會設為「USER_LOGOUT」 |
| Common.Alerts | security_result.description | 值是從「Common.Alerts」欄位對應而來 |
| Common.Enforcement-Profiles | security_result.detection_fields.value | 值是從「Common.Enforcement-Profiles」欄位對應而來 |
| Common.Login-Status | security_result.detection_fields.value | 值是從「Common.Login-Status」欄位對應而來 |
| Common.NAS-IP-Address | target.ip | 值是從「Common.NAS-IP-Address」欄位對應而來 |
| Common.Roles | principal.user.group_identifiers | 值是從「Common.Roles」欄位對應而來 |
| Common.Service | security_result.detection_fields.value | 值是從「Common.Service」欄位對應而來 |
| Common.Username | principal.user.userid | 值是從「Common.Username」欄位對應而來 |
| 元件 | intermediary.application | 值是從「元件」欄位對應而來 |
| 說明 | metadata.description | 值是從「說明」欄位對應而來,並以直立線符號取代換行字元。如果「Description」欄位包含「User」、「Address」和「Role」,系統會將其剖析為鍵/值組合,並對應至相應的 UDM 欄位。如果「說明」欄位包含「無法連線至」,系統會擷取目標主機名稱,並對應至「target.hostname」 |
| EntityName | principal.hostname | 值是從「EntityName」欄位對應而來 |
| InterIP | target.ip | 值是從「InterIP」欄位對應而來 |
| 等級 | security_result.severity | 如果值為「ERROR」或「FATAL」,UDM 欄位會設為「HIGH」。如果值為「WARN」,UDM 欄位會設為「MEDIUM」。如果值為「INFO」或「DEBUG」,UDM 欄位會設為「LOW」 |
| LogNumber | metadata.product_log_id | 值是從「LogNumber」欄位對應而來 |
| RADIUS.Acct-Framed-IP-Address | principal.ip | 值是從「RADIUS.Acct-Framed-IP-Address」欄位對應而來 |
| 時間戳記 | metadata.event_timestamp | 將「時間戳記」欄位轉換為世界標準時間,並剖析為時間戳記後,即可對應值 |
| 使用者 | principal.user.userid | 值是從「使用者」欄位對應而來 |
| agent_ip | principal.ip、principal.asset.ip | 值是從「agent_ip」欄位對應而來 |
| 社群 | additional.fields.value.string_value | 值是從「社群」欄位對應而來 |
| descr | metadata.description | 值是從「descr」欄位對應而來 |
| 企業 | additional.fields.value.string_value | 值是從「enterprise」欄位對應而來 |
| eventDescription | metadata.description | 移除引號後,值會從「eventDescription」欄位對應 |
| generic_num | additional.fields.value.string_value | 值是從「generic_num」欄位對應而來 |
| prin_mac | principal.mac | 將「prin_mac」欄位轉換為以半形冒號分隔的 MAC 位址格式後,系統會對應該欄位的值 |
| prin_port | principal.port | 值會從「prin_port」欄位對應,並轉換為整數 |
| specificTrap_name | additional.fields.value.string_value | 值是從「specificTrap_name」欄位對應而來 |
| specificTrap_num | additional.fields.value.string_value | 值是從「specificTrap_num」欄位對應而來 |
| 運作時間 | additional.fields.value.string_value | 值是從「正常運作時間」欄位對應而來 |
| version | metadata.product_version | 值是從「version」欄位對應而來 |
| extensions.auth.type | 值設為「SSO」 | |
| metadata.event_type | 系統會根據各種記錄檔欄位和剖析器邏輯判斷值。詳情請參閱剖析器程式碼 | |
| metadata.log_type | 值設為「CLEARPASS」 | |
| metadata.product_name | 值設為「ClearPass」 | |
| metadata.vendor_name | 值設為「ArubaNetworks」 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。