Recopila registros del conmutador de Aruba

Compatible con:

Este analizador extrae campos de los mensajes de syslog del conmutador Aruba con patrones de Grok y los asigna al modelo de UDM. Controla varios campos, incluidas marcas de tiempo, nombres de host, nombres de aplicaciones, IDs de procesos, IDs de eventos y descripciones, y completa los campos relevantes del UDM. El tipo de evento se establece según la presencia de información del principal.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de tener un host de Windows 2016 o posterior, o bien un host de Linux con systemd.
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios al conmutador Aruba.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración del SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación en Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para la instalación en Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

  1. Accede a la máquina en la que está instalado Bindplane.

  2. Edita el archivo config.yaml de la siguiente manera:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. Reinicia el agente de Bindplane para aplicar los cambios:

    sudo systemctl restart bindplane

Configura Syslog en el conmutador Aruba

  1. Conéctate al conmutador Aruba a través de la consola:

      ssh admin@<switch-ip>

  2. Conéctate al conmutador Aruba a través de una interfaz web:

    • Ve a la GUI web del conmutador Aruba.
    • Autentícate con las credenciales de administrador del conmutador.

  3. Habilita Syslog con la configuración de la CLI:

    • Ingresa al modo de configuración global:

      configure terminal

    • Especifica el servidor syslog externo:

      logging <bindplane-ip>:<bindplane-port>

    • Reemplaza <bindplane-ip> y <bindplane-port> por la dirección de tu agente de Bindplane.

  4. Opcional: Establece el nivel de gravedad del registro:

      logging severity <level>

  5. Opcional: Agrega un identificador (etiqueta) de fuente de registro personalizado:

      logging facility local5

  6. Guarda la configuración:

      write memory

  7. Habilita Syslog con la configuración de la interfaz web:

    • Accede a la interfaz web del conmutador Aruba.
    • Ve a Sistema > Registros > Syslog.
    • Agrega los parámetros del servidor syslog:
    • Ingresa la dirección IP de BindPlane.
    • Ingresa el puerto de BindPlane.
    • Establece el Nivel de gravedad para controlar la verbosidad de los registros.
    • Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
app principal.application El valor del campo app del registro sin procesar se asigna directamente a principal.application.
description security_result.description El valor del campo description del registro sin procesar se asigna directamente a security_result.description.
event_id additional.fields.key La cadena "event_id" se asigna a additional.fields.key.
event_id additional.fields.value.string_value El valor del campo event_id del registro sin procesar se asigna directamente a additional.fields.value.string_value.
host principal.asset.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.asset.hostname.
host principal.hostname El valor del campo host del registro sin procesar se asigna directamente a principal.hostname.
pid principal.process.pid El valor del campo pid del registro sin procesar se asigna directamente a principal.process.pid.
ts metadata.event_timestamp El valor del campo ts del registro sin procesar se convierte en una marca de tiempo y se asigna a metadata.event_timestamp. La marca de tiempo también se usa para el campo timestamp de nivel superior en el UDM. El valor de metadata.event_type se establece en "STATUS_UPDATE" porque la variable principal_mid_present se establece en "true" en el analizador cuando el campo host está presente en el registro sin procesar. La cadena "ARUBA_SWITCH" se asigna a metadata.product_name dentro del analizador. La cadena "ARUBA SWITCH" se asigna a metadata.vendor_name dentro del analizador. El analizador intenta extraer y analizar el agente de usuario del registro sin procesar con client.userAgent.rawUserAgent. Si se ejecuta correctamente, el agente de usuario analizado se asigna a network.http.parsed_user_agent. Sin embargo, dado que los registros sin procesar proporcionados no contienen este campo, es probable que este campo del UDM esté vacío. El analizador intenta extraer el agente de usuario sin procesar del registro sin procesar con client.userAgent.rawUserAgent. Si la operación se realiza correctamente, el agente de usuario sin procesar se asigna a network.http.user_agent. Sin embargo, dado que los registros sin procesar proporcionados no contienen este campo, es probable que este campo del UDM esté vacío.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.