Recoger registros de un switch de Aruba

Disponible en:

Este analizador extrae campos de mensajes syslog de switches Aruba mediante patrones grok y los asigna al modelo UDM. Gestiona varios campos, como marcas de tiempo, nombres de host, nombres de aplicaciones, IDs de procesos, IDs de eventos y descripciones, y rellena los campos de UDM correspondientes. El tipo de evento se define en función de la presencia de información principal.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google Security Operations.
  • Asegúrate de tener un host Windows 2016 o posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso privilegiado al switch de Aruba.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

  1. Para instalar en Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para instalar Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al equipo en el que está instalado Bindplane.

  2. Edita el archivo config.yaml de la siguiente manera:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. Reinicia el agente de Bindplane para aplicar los cambios:

    sudo systemctl restart bindplane

Configurar Syslog en el switch de Aruba

  1. Conéctate al switch Aruba a través de la consola:

      ssh admin@<switch-ip>

  2. Conéctate al switch Aruba a través de una interfaz web:

    • Ve a la interfaz gráfica de usuario web del switch Aruba.
    • Autentícate con las credenciales de administrador del interruptor.

  3. Habilita Syslog mediante la configuración de la CLI:

    • Entra en el modo de configuración global:

      configure terminal

    • Especifica el servidor syslog externo:

      logging <bindplane-ip>:<bindplane-port>

    • Sustituye <bindplane-ip> y <bindplane-port> por la dirección de tu agente de Bindplane.

  4. Opcional: Define el nivel de gravedad del registro:

      logging severity <level>

  5. Opcional: Añade un identificador (etiqueta) de fuente de registro personalizado:

      logging facility local5

  6. Guarda la configuración:

      write memory

  7. Habilita Syslog mediante la configuración de la interfaz web:

    • Inicia sesión en la interfaz web del switch de Aruba.
    • Ve a Sistema > Registros > Syslog.
    • Añade los parámetros del servidor syslog:
    • Introduce la dirección IP de Bindplane.
    • Introduce el puerto de Bindplane.
    • Define el Nivel de gravedad para controlar la verbosidad de los registros.
    • Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
app principal.application El valor del campo app del registro sin procesar se asigna directamente a principal.application.
description security_result.description El valor del campo description del registro sin procesar se asigna directamente a security_result.description.
event_id additional.fields.key La cadena "event_id" se asigna a additional.fields.key.
event_id additional.fields.value.string_value El valor del campo event_id del registro sin procesar se asigna directamente a additional.fields.value.string_value.
host principal.asset.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.asset.hostname.
host principal.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.hostname.
pid principal.process.pid El valor del campo pid del registro sin procesar se asigna directamente a principal.process.pid.
ts metadata.event_timestamp El valor del campo ts del registro sin procesar se convierte en una marca de tiempo y se asigna a metadata.event_timestamp. La marca de tiempo también se usa en el campo timestamp de nivel superior de UDM. El valor de metadata.event_type es "STATUS_UPDATE" porque la variable principal_mid_present tiene el valor "true" en el analizador cuando el campo host está presente en el registro sin procesar. La cadena "ARUBA_SWITCH" se asigna a metadata.product_name en el analizador. La cadena "ARUBA SWITCH" se asigna a metadata.vendor_name en el analizador. El analizador intenta extraer y analizar el agente de usuario del registro sin procesar mediante client.userAgent.rawUserAgent. Si se realiza correctamente, el user-agent analizado se asigna a network.http.parsed_user_agent. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de UDM esté vacío. El analizador intenta extraer el user-agent sin procesar del registro sin procesar mediante client.userAgent.rawUserAgent. Si se realiza correctamente, el user-agent sin procesar se asigna a network.http.user_agent. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de UDM esté vacío.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.