收集 Aruba 交換器記錄

支援的國家/地區:

這個剖析器會使用 grok 模式從 Aruba 交換器系統記錄訊息中擷取欄位,並將這些欄位對應至 UDM 模型。這個外掛程式會處理各種欄位,包括時間戳記、主機名稱、應用程式名稱、程序 ID、事件 ID 和說明,並填入相關的 UDM 欄位。系統會根據主體資訊是否齊全,設定事件類型。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您有 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您擁有 Aruba 交換器的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

  1. 如要在 Windows 上安裝,請執行下列指令碼:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 如要在 Linux 上安裝,請執行下列指令碼:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取安裝 Bindplane 的電腦。

  2. 按照下列方式編輯 config.yaml 檔案:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. 重新啟動 Bindplane 代理程式,以套用變更:

    sudo systemctl restart bindplane

在 Aruba 交換器上設定系統記錄

  1. 透過控制台連線至 Aruba 交換器:

      ssh admin@<switch-ip>

  2. 透過網路介面連線至 Aruba 交換器:

    • 前往 Aruba 交換器網頁 GUI。
    • 使用交換器的管理員憑證進行驗證。

  3. 使用 CLI 設定啟用 Syslog

    • 進入全域設定模式:

      configure terminal

    • 指定外部系統記錄伺服器:

      logging <bindplane-ip>:<bindplane-port>

    • <bindplane-ip><bindplane-port> 替換為 Bindplane 代理程式的位址。

  4. 選用:設定記錄嚴重性等級

      logging severity <level>

  5. 選用:新增自訂記錄來源 ID (標記):

      logging facility local5

  6. 儲存設定:

      write memory

  7. 使用網頁介面設定啟用 Syslog

    • 登入 Aruba 交換器網頁介面。
    • 依序前往「系統」>「記錄」>「系統記錄」
    • 新增系統記錄檔伺服器參數:
    • 輸入 Bindplane IP 位址。
    • 輸入「Bindplane Port」(Bindplane 通訊埠)
    • 設定「嚴重性等級」,控制記錄的詳細程度。
    • 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
app principal.application 原始記錄中的 app 欄位值會直接指派給 principal.application
description security_result.description 原始記錄中的 description 欄位值會直接指派給 security_result.description
event_id additional.fields.key 字串「event_id」已指派給 additional.fields.key
event_id additional.fields.value.string_value 原始記錄中的 event_id 欄位值會直接指派給 additional.fields.value.string_value
host principal.asset.hostname 原始記錄中的 host 欄位值會直接指派給 principal.asset.hostname
host principal.hostname 原始記錄中的 host 欄位值會直接指派給 principal.hostname
pid principal.process.pid 原始記錄中的 pid 欄位值會直接指派給 principal.process.pid
ts metadata.event_timestamp 原始記錄中的 ts 欄位值會轉換為時間戳記,並指派給 metadata.event_timestamp。時間戳記也會用於 UDM 中的頂層 timestamp 欄位。如果原始記錄中含有 host 欄位,剖析器會將 principal_mid_present 變數設為「true」,因此 metadata.event_type 會設為「STATUS_UPDATE」。字串「ARUBA_SWITCH」會指派給剖析器中的 metadata.product_name。字串「ARUBA SWITCH」已指派給剖析器中的 metadata.vendor_name。剖析器會嘗試使用 client.userAgent.rawUserAgent 從原始記錄中擷取及剖析使用者代理程式。如果成功,剖析的使用者代理程式會指派給 network.http.parsed_user_agent。不過,由於提供的原始記錄不含這個欄位,因此這個 UDM 欄位可能為空白。剖析器會嘗試使用 client.userAgent.rawUserAgent 從原始記錄中擷取原始使用者代理程式。如果成功,系統會將原始使用者代理程式指派給 network.http.user_agent。不過,由於提供的原始記錄不含這個欄位,因此這個 UDM 欄位可能為空白。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。