Raccogliere i log dello switch Aruba

Supportato in:

Questo parser estrae i campi dai messaggi syslog dello switch Aruba utilizzando i pattern grok e li mappa al modello UDM. Gestisce vari campi, tra cui timestamp, nomi host, nomi delle applicazioni, ID processo, ID evento e descrizioni, compilando i campi UDM pertinenti. Il tipo di evento viene impostato in base alla presenza di informazioni sul principale.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di avere un host Windows 2016 o versioni successive o Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato allo switch Aruba.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

  1. Per l'installazione di Windows, esegui il seguente script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Per l'installazione di Linux, esegui il seguente script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi alla macchina in cui è installato Bindplane.

  2. Modifica il file config.yaml come segue:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. Riavvia l'agente Bindplane per applicare le modifiche:

    sudo systemctl restart bindplane

Configurare Syslog sullo switch Aruba

  1. Connettiti allo switch Aruba tramite la console:

      ssh admin@<switch-ip>

  2. Connettiti allo switch Aruba tramite un'interfaccia web:

    • Vai alla GUI web dello switch Aruba.
    • Esegui l'autenticazione con le credenziali di amministratore dello switch.

  3. Attiva Syslog utilizzando la configurazione CLI:

    • Inserisci la modalità di configurazione globale:

      configure terminal

    • Specifica il server syslog esterno:

      logging <bindplane-ip>:<bindplane-port>

    • Sostituisci <bindplane-ip> e <bindplane-port> con l'indirizzo dell'agente Bindplane.

  4. (Facoltativo) Imposta il livello di gravità del logging:

      logging severity <level>

  5. (Facoltativo) Aggiungi un identificatore (tag) di origine log personalizzato:

      logging facility local5

  6. Salva la configurazione:

      write memory

  7. Attiva Syslog utilizzando la configurazione dell'interfaccia web:

    • Accedi all'interfaccia web dello switch Aruba.
    • Vai a Sistema > Log > Syslog.
    • Aggiungi i parametri del server syslog:
    • Inserisci l'indirizzo IP Bindplane.
    • Inserisci la porta Bindplane.
    • Imposta il Livello di gravità per controllare la verbosità dei log.
    • Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
app principal.application Il valore del campo app del log non elaborato viene assegnato direttamente a principal.application.
description security_result.description Il valore del campo description del log non elaborato viene assegnato direttamente a security_result.description.
event_id additional.fields.key La stringa "event_id" è assegnata a additional.fields.key.
event_id additional.fields.value.string_value Il valore del campo event_id del log non elaborato viene assegnato direttamente a additional.fields.value.string_value.
host principal.asset.hostname Il valore del campo host del log non elaborato viene assegnato direttamente a principal.asset.hostname.
host principal.hostname Il valore del campo host del log non elaborato viene assegnato direttamente a principal.hostname.
pid principal.process.pid Il valore del campo pid del log non elaborato viene assegnato direttamente a principal.process.pid.
ts metadata.event_timestamp Il valore del campo ts del log non elaborato viene convertito in un timestamp e assegnato a metadata.event_timestamp. Il timestamp viene utilizzato anche per il campo timestamp di primo livello in UDM. metadata.event_type è impostato su "STATUS_UPDATE" perché la variabile principal_mid_present è impostata su "true" nel parser quando il campo host è presente nel log non elaborato. La stringa "ARUBA_SWITCH" è assegnata a metadata.product_name all'interno del parser. La stringa "ARUBA SWITCH" è assegnata a metadata.vendor_name all'interno del parser. Il parser tenta di estrarre e analizzare lo user agent dal log non elaborato utilizzando client.userAgent.rawUserAgent. Se l'operazione va a buon fine, lo user agent analizzato viene assegnato a network.http.parsed_user_agent. Tuttavia, poiché i log non elaborati forniti non contengono questo campo, è probabile che questo campo UDM sia vuoto. Il parser tenta di estrarre lo user agent non elaborato dal log non elaborato utilizzando client.userAgent.rawUserAgent. Se l'operazione va a buon fine, l'user agent non elaborato viene assegnato a network.http.user_agent. Tuttavia, poiché i log non elaborati forniti non contengono questo campo, è probabile che questo campo UDM sia vuoto.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.