このページは Cloud Translation API によって翻訳されました。

Aruba スイッチのログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは、grok パターンを使用して Aruba スイッチの Syslog メッセージからフィールドを抽出し、UDM モデルにマッピングします。タイムスタンプ、ホスト名、アプリケーション名、プロセス ID、イベント ID、説明などのさまざまなフィールドを処理し、関連する UDM フィールドに入力します。イベントタイプは、プリンシパル情報の有無に基づいて設定されます。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Aruba スイッチに対する特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM Settings] > [Collection Agents] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Bindplane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

Aruba スイッチで Syslog を構成する

コンソールから Aruba スイッチに接続します。
```
  ssh admin@<switch-ip>
```
ウェブインターフェースを使用して Aruba スイッチに接続します。
- Aruba スイッチのウェブ GUI に移動します。
- スイッチの管理者認証情報で認証します。
CLI 構成を使用して Syslog を有効にします。
- グローバル構成モードに入ります。
```
configure terminal
```
- 外部 syslog サーバーを指定します。
```
logging <bindplane-ip>:<bindplane-port>
```
- <bindplane-ip> と <bindplane-port> は、Bindplane エージェントのアドレスに置き換えます。
省略可: ロギングの重大度レベルを設定します。
```
  logging severity <level>
```
注: 重大度は 0（緊急）～7（デバッグ）の範囲で指定できます。
省略可: カスタム ログソースの識別子（タグ）を追加します。
```
  logging facility local5
```
構成を保存します。
```
  write memory
```
Web インターフェース構成を使用して Syslog を有効にします。
- Aruba スイッチのウェブインターフェースにログインします。
- [System] > [Logs] > [Syslog] に移動します。
- syslog サーバーパラメータを追加します。
- Bindplane IP アドレスを入力します。
- Bindplane ポートを入力します。
- ログの詳細度を制御するには、[重大度レベル] を設定します。
- [保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`app`	`principal.application`	未加工ログの `app` フィールドの値が `principal.application` に直接割り当てられます。
`description`	`security_result.description`	未加工ログの `description` フィールドの値が `security_result.description` に直接割り当てられます。
`event_id`	`additional.fields.key`	文字列「event_id」が `additional.fields.key` に割り当てられます。
`event_id`	`additional.fields.value.string_value`	未加工ログの `event_id` フィールドの値が `additional.fields.value.string_value` に直接割り当てられます。
`host`	`principal.asset.hostname`	未加工ログの `host` フィールドの値が `principal.asset.hostname` に直接割り当てられます。
`host`	`principal.hostname`	未加工ログの `host` フィールドの値が `principal.hostname` に直接割り当てられます。
`pid`	`principal.process.pid`	未加工ログの `pid` フィールドの値が `principal.process.pid` に直接割り当てられます。
`ts`	`metadata.event_timestamp`	未加工ログの `ts` フィールドの値はタイムスタンプに変換され、`metadata.event_timestamp` に割り当てられます。このタイムスタンプは、UDM の最上位の `timestamp` フィールドにも使用されます。`host` フィールドが未加工ログに存在する場合、パーサーで `principal_mid_present` 変数が「true」に設定されるため、`metadata.event_type` は「STATUS_UPDATE」に設定されます。文字列「ARUBA_SWITCH」は、パーサー内の `metadata.product_name` に割り当てられます。文字列「ARUBA SWITCH」は、パーサー内の `metadata.vendor_name` に割り当てられます。パーサーは、`client.userAgent.rawUserAgent` を使用して未加工のログからユーザーエージェントを抽出して解析しようとします。成功すると、解析されたユーザーエージェントが `network.http.parsed_user_agent` に割り当てられます。ただし、提供された生ログにはこのフィールドが含まれていないため、この UDM フィールドは空になる可能性があります。パーサーは `client.userAgent.rawUserAgent` を使用して、未加工のログから未加工のユーザーエージェントを抽出します。成功すると、未加工のユーザーエージェントが `network.http.user_agent` に割り当てられます。ただし、提供された未加工ログにはこのフィールドが含まれていないため、この UDM フィールドは空になる可能性があります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。