Aruba 스위치 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 파서는 grok 패턴을 사용하여 Aruba 스위치 syslog 메시지에서 필드를 추출하고 UDM 모델에 매핑합니다. 타임스탬프, 호스트 이름, 애플리케이션 이름, 프로세스 ID, 이벤트 ID, 설명 등 다양한 필드를 처리하여 관련 UDM 필드를 채웁니다. 이벤트 유형은 주 구성원 정보의 존재 여부에 따라 설정됩니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는 systemd가 있는 Linux 호스트가 있는지 확인합니다.
- 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Aruba 스위치에 대한 권한이 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
- Windows 설치의 경우 다음 스크립트를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Linux 설치의 경우 다음 스크립트를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- Bindplane이 설치된 머신에 액세스합니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: aruba_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsBindplane 에이전트를 다시 시작하여 변경사항을 적용합니다.
sudo systemctl restart bindplane
Aruba 스위치에서 Syslog 구성
콘솔을 통해 Aruba 스위치에 연결합니다.
ssh admin@<switch-ip>웹 인터페이스를 통해 Aruba 스위치에 연결합니다.
- Aruba 스위치 웹 GUI로 이동합니다.
- 스위치의 관리자 사용자 인증 정보로 인증합니다.
CLI 구성을 사용하여 Syslog를 사용 설정합니다.
전역 구성 모드를 입력합니다.
configure terminal외부 syslog 서버를 지정합니다.
logging <bindplane-ip>:<bindplane-port><bindplane-ip>및<bindplane-port>를 Bindplane 에이전트의 주소로 바꿉니다.
선택사항: 로깅 심각도 수준을 설정합니다.
logging severity <level>선택사항: 맞춤 로그 소스 식별자 (태그)를 추가합니다.
logging facility local5구성을 저장합니다.
write memory웹 인터페이스 구성을 사용하여 Syslog를 사용 설정합니다.
- Aruba 스위치 웹 인터페이스에 로그인합니다.
- 시스템 > 로그 > Syslog로 이동합니다.
- 시스템 로그 서버 매개변수를 추가합니다.
- Bindplane IP 주소를 입력합니다.
- Bindplane Port를 입력합니다.
- 심각도 수준을 설정하여 로그의 세부정보 수준을 제어합니다.
- 저장을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
app |
principal.application |
원시 로그의 app 필드 값이 principal.application에 직접 할당됩니다. |
description |
security_result.description |
원시 로그의 description 필드 값이 security_result.description에 직접 할당됩니다. |
event_id |
additional.fields.key |
문자열 'event_id'가 additional.fields.key에 할당됩니다. |
event_id |
additional.fields.value.string_value |
원시 로그의 event_id 필드 값이 additional.fields.value.string_value에 직접 할당됩니다. |
host |
principal.asset.hostname |
원시 로그의 host 필드 값이 principal.asset.hostname에 직접 할당됩니다. |
host |
principal.hostname |
원시 로그의 host 필드 값이 principal.hostname에 직접 할당됩니다. |
pid |
principal.process.pid |
원시 로그의 pid 필드 값이 principal.process.pid에 직접 할당됩니다. |
ts |
metadata.event_timestamp |
원시 로그의 ts 필드 값이 타임스탬프로 변환되어 metadata.event_timestamp에 할당됩니다. 타임스탬프는 UDM의 최상위 timestamp 필드에도 사용됩니다. host 필드가 원시 로그에 있으면 파서에서 principal_mid_present 변수가 'true'로 설정되므로 metadata.event_type가 'STATUS_UPDATE'로 설정됩니다. 파서 내에서 문자열 'ARUBA_SWITCH'가 metadata.product_name에 할당됩니다. 'ARUBA SWITCH' 문자열이 파서 내에서 metadata.vendor_name에 할당됩니다. 파서는 client.userAgent.rawUserAgent를 사용하여 원시 로그에서 사용자 에이전트를 추출하고 파싱하려고 시도합니다. 성공하면 파싱된 사용자 에이전트가 network.http.parsed_user_agent에 할당됩니다. 하지만 제공된 원시 로그에 이 필드가 포함되어 있지 않으므로 이 UDM 필드는 비어 있을 가능성이 높습니다. 파서는 client.userAgent.rawUserAgent를 사용하여 원시 로그에서 원시 사용자 에이전트를 추출하려고 시도합니다. 성공하면 원시 사용자 에이전트가 network.http.user_agent에 할당됩니다. 하지만 제공된 원시 로그에 이 필드가 포함되어 있지 않으므로 이 UDM 필드는 비어 있을 가능성이 높습니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.