Diese Seite wurde von der Cloud Translation API übersetzt.

Aruba Wireless Controller- und Accesspoint-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit Bindplane Aruba Wireless Controller- und ‑Zugangspunkt-Logs erfassen. Der Parser verarbeitet SYSLOG-Nachrichten und extrahiert Felder zu Beobachter, Vermittler und Zugangspunkt. Diese Felder werden dann dem Unified Data Model (UDM) zugeordnet. Dabei werden die Ereignisdaten um die Schwere des Sicherheitsergebnisses ergänzt und verschiedene Fehlerbedingungen werden verarbeitet.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte auf einen Aruba-Wireless-Controller.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Aruba Wireless Controller und Zugangspunkt konfigurieren

Melden Sie sich in der Web-UI des Aruba-Controllers an.
Wählen Sie im Menü oben Konfiguration > System aus.
Wählen Sie Logging aus, um die Seite für die Logging-Konfiguration zu öffnen.
Klicken Sie im Bereich Syslog-Server auf + Hinzufügen, um einen neuen syslog-Server hinzuzufügen.
Ein neues Formular wird angezeigt, in dem Sie die folgenden Angaben machen müssen:
- Name: Geben Sie einen eindeutigen Namen für den syslog-Server ein, z. B. Google SecOps Syslog.
- IP-Adresse: Geben Sie die Bindplane-IP-Adresse ein.
- Port: Geben Sie die Bindplane-Portnummer ein (normalerweise 514 für UDP).
- Logging Facility: Wählen Sie im Menü local 6 aus. Diese Option wird häufig für Netzwerkgeräte verwendet.
- Protokollierungsebene: Wählen Sie Informationslog aus, um Informationslogs zu erfassen.
- Format: Wählen Sie das Format bsd-standard aus. Dies ist das Standard-Syslog-Format, das von Aruba-Controllern verwendet wird.
Klicken Sie auf Senden, um die Einstellungen zu speichern.
Klicken Sie auf Ausstehende Änderungen.
Klicken Sie auf Änderungen bereitstellen, um die neue syslog-Serverkonfiguration anzuwenden.

Hinweis: Nach der Bereitstellung der Änderungen müssen Sie die Protokollierungsebene für bestimmte Protokollkategorien konfigurieren.
Rufen Sie die Einstellungen für die Protokollierungsebene auf und legen Sie für jede der folgenden Kategorien die Protokollierungsebene auf Informationen fest:
- Netzwerk
- Alle
- Cluster
- DHCP
- GP
- Mobilitätshilfen
- Paket-Dump
- SDN

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Additional Info`	`read_only_udm.security_result.description`	Der Wert von `Additional Info` aus dem Rohprotokoll wird dem UDM-Feld `security_result.description` zugeordnet.
`AP`	`read_only_udm.target.hostname`	Wenn der Wert nach `AP:` im Rohprotokoll vorhanden ist, wird er extrahiert und dem UDM-Feld `target.hostname` zugeordnet.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (wenn der Ressourcentyp BSSID ist)	Der BSSID-Wert aus dem Rohprotokoll wird `target.mac` zugeordnet. Er wird auch als Ressourcenname verwendet, wenn `principal.resource.type` = `BSSID` ist.
`COMMAND`	`read_only_udm.principal.process.command_line`	Der Befehlswert aus dem Rohprotokoll wird dem UDM-Feld `principal.process.command_line` zugeordnet.
`Dst-MAC`	`read_only_udm.target.mac`	Falls vorhanden, wird der Dst-MAC-Wert aus dem Rohprotokoll dem UDM-Feld `target.mac` zugeordnet.
`SERVER`	`read_only_udm.target.hostname`	Falls vorhanden, wird der Servername aus dem Rohprotokoll dem UDM-Feld `target.hostname` zugeordnet.
`SERVER-IP`	`read_only_udm.target.ip`	Falls vorhanden, wird die Server-IP aus dem Rohprotokoll dem UDM-Feld `target.ip` zugeordnet.
`Src-MAC`	`read_only_udm.principal.mac`	Falls vorhanden, wird der Src-MAC-Wert aus dem Rohprotokoll dem UDM-Feld `principal.mac` zugeordnet.
`SSID`	`read_only_udm.target.resource.name` (wenn der Ressourcentyp SSID ist)	Der SSID-Wert aus dem Rohprotokoll wird als Ressourcenname verwendet, wenn `target.resource.type` `SSID` ist.
`USER`	`read_only_udm.target.user.userid`	Falls vorhanden, wird die Nutzer-ID aus dem Rohprotokoll dem UDM-Feld `target.user.userid` zugeordnet.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Falls vorhanden, wird die Nutzer-IP aus dem Rohprotokoll den UDM-Feldern `principal.ip` und `observer.ip` zugeordnet.
`USERMAC`	`read_only_udm.principal.mac`	Falls vorhanden, wird die MAC-Adresse des Nutzers aus dem Rohprotokoll dem UDM-Feld `principal.mac` zugeordnet.
`USERNAME`	`read_only_udm.principal.user.userid`	Falls vorhanden, wird der Nutzername aus dem Rohprotokoll dem UDM-Feld `principal.user.userid` zugeordnet.
`action`	`read_only_udm.security_result.action`	Der Aktionswert aus dem Rohprotokoll (z.B. `permit`, `deny`) wird dem UDM-Feld `security_result.action` zugeordnet.
`apname`	`read_only_udm.target.hostname`	Falls vorhanden, wird der Name des Zugangspunkts aus dem Rohprotokoll dem UDM-Feld `target.hostname` zugeordnet.
`bssid`	`read_only_udm.target.mac`	Falls vorhanden, wird der BSSID-Wert aus dem Rohprotokoll dem UDM-Feld `target.mac` zugeordnet.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	Der Wert in Sekunden der Erfassungszeit aus dem Rohprotokoll wird dem UDM-Feld `metadata.event_timestamp.seconds` zugeordnet.
`device_ip`	`read_only_udm.intermediary.ip`	Die Geräte-IP aus dem Rohprotokoll oder aus `logstash` wird dem UDM-Feld `intermediary.ip` zugeordnet.
`dstip`	`read_only_udm.target.ip`	Falls vorhanden, wird die Ziel-IP aus dem Rohprotokoll dem UDM-Feld `target.ip` zugeordnet.
`dstport`	`read_only_udm.target.port`	Falls vorhanden, wird der Zielport aus dem Rohprotokoll dem UDM-Feld `target.port` zugeordnet.
`event_id`	`read_only_udm.metadata.product_event_type`	Anhand der Ereignis-ID aus dem Rohprotokoll wird das Feld `metadata.product_event_type` im UDM erstellt, das mit `Event ID:` vorangestellt ist.
`event_message`	`read_only_udm.security_result.summary`	Die Ereignisnachricht aus dem Rohprotokoll wird dem UDM-Feld `security_result.summary` zugeordnet.
`log.source.address`	`read_only_udm.observer.ip`	Die Adresse der Logquelle wird dem UDM-Feld `observer.ip` zugeordnet.
`log_type`	`read_only_udm.metadata.log_type`	Der Protokolltyp aus dem Rohprotokoll wird dem UDM-Feld `metadata.log_type` zugeordnet.
`logstash.collect.host`	`read_only_udm.observer.ip` oder `read_only_udm.observer.hostname`	Der Logstash-Host für die Datenerfassung wird entweder `observer.ip` zugeordnet, wenn es sich um eine IP-Adresse handelt, oder `observer.hostname`, wenn es sich um einen Hostnamen handelt.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	Der Logstash-Aufnahmehost wird dem UDM-Feld `intermediary.hostname` zugeordnet.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	Der Logstash-Prozesshost wird dem UDM-Feld `intermediary.hostname` zugeordnet.
`program`	`read_only_udm.target.application`	Der Programmname aus dem Rohprotokoll wird dem UDM-Feld `target.application` zugeordnet.
`serverip`	`read_only_udm.target.ip`	Falls vorhanden, wird die Server-IP aus dem Rohprotokoll dem UDM-Feld `target.ip` zugeordnet.
`servername`	`read_only_udm.target.hostname`	Falls vorhanden, wird der Servername aus dem Rohprotokoll dem UDM-Feld `target.hostname` zugeordnet.
`srcip`	`read_only_udm.principal.ip`	Falls vorhanden, wird die Quell-IP aus dem Rohprotokoll dem UDM-Feld `principal.ip` zugeordnet.
`srcport`	`read_only_udm.principal.port`	Falls vorhanden, wird der Quellport aus dem Rohprotokoll dem UDM-Feld `principal.port` zugeordnet.
`syslog_host`	`read_only_udm.intermediary.hostname`	Der syslog-Host aus dem Rohprotokoll wird dem UDM-Feld `intermediary.hostname` zugeordnet.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Der Zeitstempel aus dem Rohprotokoll wird geparst und dem UDM-Feld `metadata.event_timestamp` zugeordnet.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Falls vorhanden, wird die Nutzer-IP aus dem Rohprotokoll den UDM-Feldern `principal.ip` und `observer.ip` zugeordnet.
`usermac`	`read_only_udm.principal.mac`	Falls vorhanden, wird die MAC-Adresse des Nutzers aus dem Rohprotokoll dem UDM-Feld `principal.mac` zugeordnet.
`username`	`read_only_udm.principal.user.userid`	Falls vorhanden, wird der Nutzername aus dem Rohprotokoll dem UDM-Feld `principal.user.userid` zugeordnet. Abgeleitet aus der `event_id` und der Logik im Parser. Wird vom Parser anhand der Ereignis-ID und des Inhalts der Protokollnachricht ermittelt. Hartcodiert auf `Wireless`. Hartcodiert auf `Aruba`. Wird vom Parser anhand der Ereignis-ID und des Inhalts der Protokollnachricht ermittelt. Wird vom Parser anhand der Ereignis-ID und des Inhalts der Protokollnachricht ermittelt. Mithilfe von regulären Ausdrücken aus der Roh-Lognachricht extrahiert. Wird vom Parser anhand der Ereignis-ID und des Inhalts der Protokollnachricht ermittelt. Ein leeres Objekt wird hinzugefügt, wenn der Ereignistyp „USER_LOGIN“ oder ein ähnliches Authentifizierungsereignis ist. Wird vom Parser anhand des im Ereignis verwendeten Netzwerkprotokolls ermittelt (z.B. TCP, UDP, ICMP, IGMP). Enthält zusätzliche Felder, die anhand bestimmter Bedingungen aus dem Rohprotokoll extrahiert wurden. Beispielsweise wird `ap_name` als Schlüssel/Wert-Paar hinzugefügt, wenn es vorhanden ist. Legen Sie `BSSID` fest, wenn im Kontext des Hauptkontos eine BSSID vorhanden ist. Setzen Sie diesen Wert auf `SSID`, wenn im Kontext des Ziels eine SSID vorhanden ist. Enthält Schlüssel/Wert-Paare mit relevanten Erkennungsinformationen, die aus dem Rohprotokoll extrahiert wurden, z. B. BSSID oder SSID.

Änderungen

2024-12-27

Optimierung:

Es wurde ein Grok-Muster hinzugefügt, um ein neues Muster von syslog-Protokollen zu unterstützen.

2024-09-04

Optimierung:

Unterstützung für ein neues Muster von SYSLOG-Protokollen hinzugefügt.

2024-08-26

Optimierung:

Unterstützung für die Verarbeitung nicht geparster SYSLOG-Protokolle hinzugefügt
details wurde metadata.description zugeordnet.

2024-06-18

Optimierung:

Unterstützung für die Verarbeitung nicht geparster SYSLOG-Protokolle hinzugefügt

2024-04-18

Optimierung:

Es wurde ein Grok-Muster hinzugefügt, um einen gültigen Wert aus ap_name zu extrahieren.
ap_name wurde additional.fields zugeordnet.

2023-05-25

Fehlerkorrektur:

Geparste Protokolle schlagen aufgrund eines anderen Protokollmusters fehl.

2022-09-15

Fehlerkorrektur:

Das Grok-Muster wurde geändert, um Protokolle zu parsen, die ein Datumsfeld im Zeitstempel des Protokolls enthalten können. Bestimmte Protokolle enthalten möglicherweise nicht den Schlüssel userip.
metadata.event_type wurde nach Möglichkeit von GENERIC_EVENT auf STATUS_UPDATE geändert.

2022-08-23

Optimierung:

Der kundenspezifische Parser wurde zum Standardparser migriert.
Die Zuordnung für „metadata.event_type“ wurde von „GENERIC_EVENT“ zu „USER_RESOURCE_ACCESS“ geändert, wenn „event_id“ den Wert „132053“ hat.

2022-03-30

Optimierung:

Die folgenden neuen Ereignis-IDs wurden hinzugefügt: 124003, 126037, 126038, 199801, 235008, 235009, 304119, 306602, 326091, 326098, 326271, 326272, 326273, 326274, 326275, 326276, 326277, 326278, 326284, 341004, 350008, 351008, 358000, 393000, 399815, 520013, 522274, 541004
metadata.event_type, bei dem Event Id 126034, 126064, 127064, 132006, 132030, 132093, 132094 oder 132197 ist, von GENERIC_EVENT in SCAN_UNCATEGORIZED geändert
metadata.event_type, bei dem Event Id = 132207, von GENERIC_EVENT in NETWORK_CONNECTION geändert
metadata.event_type, bei dem Event Id = 520002, von GENERIC_EVENT in USER_UNCATEGORIZED geändert
Zugewiesen intermediary.hostname, intermediary.mac, intermediary.ip, target.application, target.process.pid
logstash.irm_site, logstash.irm_environment und logstash.irm_region wurden additional.fields zugeordnet

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten