Esta página foi traduzida pela API Cloud Translation.

Recolha registos do comutador Aruba

Compatível com:

Google secops SIEM

Este analisador extrai campos de mensagens syslog de comutadores Aruba através de padrões grok e mapeia-os para o modelo UDM. Processa vários campos, incluindo datas/horas, nomes de anfitriões, nomes de aplicações, IDs de processos, IDs de eventos e descrições, preenchendo os campos da UDM relevantes. O tipo de evento é definido com base na presença de informações principais.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que tem o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado ao comutador Aruba.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda à máquina onde o Bindplane está instalado.

Edite o ficheiro config.yaml da seguinte forma:

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações:
```
sudo systemctl restart bindplane
```

Configure o Syslog no comutador Aruba

Ligue-se ao comutador Aruba através da consola:
```
  ssh admin@<switch-ip>
```
Ligue-se ao comutador Aruba através de uma interface Web:
- Aceda à GUI Web do comutador Aruba.
- Faça a autenticação com as credenciais de administrador do comutador.
Ative o Syslog através da configuração da CLI:
- Aceda ao modo de configuração global:
```
configure terminal
```
- Especifique o servidor syslog externo:
```
logging <bindplane-ip>:<bindplane-port>
```
- Substitua <bindplane-ip> e <bindplane-port> pela morada do seu agente do Bindplane.
Opcional: defina o nível de gravidade do registo:
```
  logging severity <level>
```
Nota: os níveis de gravidade variam de 0 (emergência) a 7 (depuração).
Opcional: adicione um identificador (etiqueta) de origem do registo personalizado:
```
  logging facility local5
```
Guarde a configuração:
```
  write memory
```
Ative o Syslog através da configuração da interface Web:
- Inicie sessão na interface Web do comutador Aruba.
- Aceda a Sistema > Registos > Syslog.
- Adicione parâmetros do servidor syslog:
- Introduza o endereço IP do Bindplane.
- Introduza a porta do Bindplane.
- Defina o Nível de gravidade para controlar a verbosidade dos registos.
- Clique em Guardar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`app`	`principal.application`	O valor do campo `app` do registo não processado é diretamente atribuído a `principal.application`.
`description`	`security_result.description`	O valor do campo `description` do registo não processado é diretamente atribuído a `security_result.description`.
`event_id`	`additional.fields.key`	A string "event_id" está atribuída a `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	O valor do campo `event_id` do registo não processado é diretamente atribuído a `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	O valor do campo `host` do registo não processado é diretamente atribuído a `principal.asset.hostname`.
`host`	`principal.hostname`	O valor do campo `host` do registo não processado é diretamente atribuído a `principal.hostname`.
`pid`	`principal.process.pid`	O valor do campo `pid` do registo não processado é diretamente atribuído a `principal.process.pid`.
`ts`	`metadata.event_timestamp`	O valor do campo `ts` do registo não processado é convertido numa indicação de tempo e atribuído a `metadata.event_timestamp`. A data/hora também é usada para o campo `timestamp` de nível superior na CDFU. O `metadata.event_type` está definido como "STATUS_UPDATE" porque a variável `principal_mid_present` está definida como "true" no analisador quando o campo `host` está presente no registo não processado. A string "ARUBA_SWITCH" está atribuída a `metadata.product_name` no analisador. A string "ARUBA SWITCH" está atribuída a `metadata.vendor_name` no analisador. O analisador tenta extrair e analisar o agente do utilizador do registo não processado através do `client.userAgent.rawUserAgent`. Se for bem-sucedido, o agente do utilizador analisado é atribuído a `network.http.parsed_user_agent`. No entanto, uma vez que os registos não processados fornecidos não contêm este campo, é provável que este campo da UDM esteja vazio. O analisador tenta extrair o agente do utilizador não processado do registo não processado através de `client.userAgent.rawUserAgent`. Se for bem-sucedido, o agente do utilizador não processado é atribuído a `network.http.user_agent`. No entanto, uma vez que os registos não processados fornecidos não contêm este campo, é provável que este campo da UDM esteja vazio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.