Aruba-Switch-Logs erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus Syslog-Nachrichten von Aruba-Switches mithilfe von Grok-Mustern und ordnet sie dem UDM-Modell zu. Sie verarbeitet verschiedene Felder, darunter Zeitstempel, Hostnamen, Anwendungsnamen, Prozess-IDs, Ereignis-IDs und Beschreibungen, und füllt die entsprechenden UDM-Felder aus. Der Ereignistyp wird anhand der vorhandenen Hauptinformationen festgelegt.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Achten Sie darauf, dass Sie einen Windows 2016-Host oder höher oder einen Linux-Host mit systemd haben.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Sie benötigen privilegierten Zugriff auf den Aruba-Switch.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profil auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Skript aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Skript aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

  1. Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.

  2. Bearbeiten Sie die Datei config.yamlso:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:

    sudo systemctl restart bindplane

Syslog auf dem Aruba-Switch konfigurieren

  1. Stellen Sie über die Konsole eine Verbindung zum Aruba-Switch her:

      ssh admin@<switch-ip>

  2. So stellen Sie über eine Weboberfläche eine Verbindung zum Aruba-Switch her:

    • Rufen Sie die Web-GUI des Aruba-Switches auf.
    • Authentifizieren Sie sich mit den Administratoranmeldedaten des Switches.

  3. Aktivieren Sie Syslog mit der CLI-Konfiguration:

    • Rufen Sie den globalen Konfigurationsmodus auf:

      configure terminal

    • Geben Sie den externen Syslog-Server an:

      logging <bindplane-ip>:<bindplane-port>

    • Ersetzen Sie <bindplane-ip> und <bindplane-port> durch die Adresse Ihres Bindplane-Agents.

  4. Optional: Legen Sie den Schweregrad für die Protokollierung fest:

      logging severity <level>

  5. Optional: Fügen Sie eine benutzerdefinierte Kennung (Tag) für die Protokollquelle hinzu:

      logging facility local5

  6. Konfiguration speichern:

      write memory

  7. Aktivieren Sie Syslog über die Web Interface Configuration:

    • Melden Sie sich in der Weboberfläche des Aruba-Switches an.
    • Gehen Sie zu System > Logs > Syslog.
    • Syslog-Serverparameter hinzufügen:
    • Geben Sie die Bindplane-IP-Adresse ein.
    • Geben Sie den Bindplane-Port ein.
    • Legen Sie die Severity Level (Schweregrad) fest, um die Ausführlichkeit der Logs zu steuern.
    • Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
app principal.application Der Wert des Felds app aus dem Rohlog wird direkt principal.application zugewiesen.
description security_result.description Der Wert des Felds description aus dem Rohlog wird direkt security_result.description zugewiesen.
event_id additional.fields.key Der String „event_id“ wird additional.fields.key zugewiesen.
event_id additional.fields.value.string_value Der Wert des Felds event_id aus dem Rohlog wird direkt additional.fields.value.string_value zugewiesen.
host principal.asset.hostname Der Wert des Felds host aus dem Rohlog wird direkt principal.asset.hostname zugewiesen.
host principal.hostname Der Wert des Felds host aus dem Rohlog wird direkt principal.hostname zugewiesen.
pid principal.process.pid Der Wert des Felds pid aus dem Rohlog wird direkt principal.process.pid zugewiesen.
ts metadata.event_timestamp Der Wert des Felds ts aus dem Rohlog wird in einen Zeitstempel konvertiert und metadata.event_timestamp zugewiesen. Der Zeitstempel wird auch für das timestamp-Feld der obersten Ebene im UDM verwendet. metadata.event_type ist auf „STATUS_UPDATE“ festgelegt, da die Variable principal_mid_present im Parser auf „true“ gesetzt ist, wenn das Feld host im Rohlog vorhanden ist. Der String „ARUBA_SWITCH“ wird im Parser metadata.product_name zugewiesen. Der String „ARUBA SWITCH“ wird im Parser metadata.vendor_name zugewiesen. Der Parser versucht, den User-Agent aus dem Rohprotokoll zu extrahieren und zu parsen. Dazu wird client.userAgent.rawUserAgent verwendet. Bei Erfolg wird der geparste User-Agent network.http.parsed_user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer. Der Parser versucht, den Roh-User-Agent aus dem Rohlog mithilfe von client.userAgent.rawUserAgent zu extrahieren. Bei Erfolg wird der Roh-User-Agent network.http.user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten