Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del controlador inalámbrico y el punto de acceso de Aruba

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros del controlador inalámbrico y el punto de acceso de Aruba con Bindplane. El analizador procesa los mensajes de SYSLOG y extrae los campos relacionados con los detalles del observador, el intermediario y el punto de acceso. Luego, asigna estos campos al Modelo de datos unificado (UDM), lo que enriquece los datos del evento con la gravedad del resultado de seguridad y controla diversas condiciones de error durante el proceso.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a un controlador inalámbrico de Aruba.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el controlador inalámbrico y el punto de acceso de Aruba

Accede a la IU web del controlador de Aruba.
Ve al menú superior y selecciona Configuración > Sistema.
Selecciona Registro para abrir la página de configuración del registro.
En la sección Servidores Syslog, haz clic en + Agregar para agregar un servidor Syslog nuevo.
Aparecerá un nuevo formulario en el que deberás ingresar los siguientes detalles:
- Nombre: Ingresa un nombre único para el servidor syslog, por ejemplo, Google SecOps Syslog.
- Dirección IP: Ingresa la dirección IP de Bindplane.
- Puerto: Ingresa el número de puerto de Bindplane (por lo general, 514 para UDP).
- Logging Facility: Selecciona local 6 en el menú (se usa comúnmente para dispositivos de red).
- Nivel de registro: Selecciona Informativo para capturar registros de información.
- Formato: Selecciona el formato bsd-standard (este es el formato syslog predeterminado que usan los controladores de Aruba).
Haz clic en Enviar para guardar la configuración.
Haz clic en Cambios pendientes.
Haz clic en Deploy Changes para aplicar la nueva configuración del servidor syslog.

Nota: Después de implementar los cambios, deberás configurar el nivel de registro para categorías específicas de registros.
Ve a la configuración de Nivel de registro y establece el Nivel de registro en Informativo para cada una de las siguientes categorías:
- Red
- Todos
- Clúster
- DHCP
- PJ
- Movilidad
- Packet-Dump
- SDN

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	El valor de `Additional Info` del registro sin procesar se asigna al campo `security_result.description` del UDM.
`AP`	`read_only_udm.target.hostname`	Cuando está presente en el registro sin procesar, se extrae el valor que se encuentra después de `AP:` y se asigna al campo `target.hostname` del UDM.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (cuando el tipo de recurso es BSSID)	El valor del BSSID del registro sin procesar se asigna a `target.mac`. También se usa como nombre del recurso cuando `principal.resource.type` es `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	El valor del comando del registro sin procesar se asigna al campo `principal.process.command_line` del UDM.
`Dst-MAC`	`read_only_udm.target.mac`	Cuando está presente, el valor de Dst-MAC del registro sin procesar se asigna al campo `target.mac` del UDM.
`SERVER`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` del UDM.
`SERVER-IP`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` del UDM.
`Src-MAC`	`read_only_udm.principal.mac`	Cuando está presente, el valor de Src-MAC del registro sin procesar se asigna al campo `principal.mac` del UDM.
`SSID`	`read_only_udm.target.resource.name` (cuando el tipo de recurso es SSID)	El valor del SSID del registro sin procesar se usa como nombre del recurso cuando `target.resource.type` es `SSID`.
`USER`	`read_only_udm.target.user.userid`	Cuando está presente, el ID de usuario del registro sin procesar se asigna al campo `target.user.userid` del UDM.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` del UDM.
`USERMAC`	`read_only_udm.principal.mac`	Cuando está presente, la dirección MAC del usuario del registro sin procesar se asigna al campo `principal.mac` del UDM.
`USERNAME`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` del UDM.
`action`	`read_only_udm.security_result.action`	Es el valor de la acción del registro sin procesar (p.ej., `permit`, `deny`) se asigna al campo `security_result.action` del UDM.
`apname`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del AP del registro sin procesar se asigna al campo `target.hostname` del UDM.
`bssid`	`read_only_udm.target.mac`	Cuando está presente, el valor del BSSID del registro sin procesar se asigna al campo `target.mac` del UDM.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	El valor de segundos de la hora de recopilación del registro sin procesar se asigna al campo `metadata.event_timestamp.seconds` del UDM.
`device_ip`	`read_only_udm.intermediary.ip`	La IP del dispositivo del registro sin procesar o de `logstash` se asigna al campo `intermediary.ip` del UDM.
`dstip`	`read_only_udm.target.ip`	Cuando está presente, la IP de destino del registro sin procesar se asigna al campo `target.ip` del UDM.
`dstport`	`read_only_udm.target.port`	Cuando está presente, el puerto de destino del registro sin procesar se asigna al campo `target.port` del UDM.
`event_id`	`read_only_udm.metadata.product_event_type`	El ID del evento del registro sin procesar se usa para construir el campo `metadata.product_event_type` en el UDM, con el prefijo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	El mensaje del evento del registro sin procesar se asigna al campo `security_result.summary` del UDM.
`log.source.address`	`read_only_udm.observer.ip`	La dirección de la fuente de registro se asigna al campo `observer.ip` del UDM.
`log_type`	`read_only_udm.metadata.log_type`	El tipo de registro del registro sin procesar se asigna al campo `metadata.log_type` del UDM.
`logstash.collect.host`	`read_only_udm.observer.ip` o `read_only_udm.observer.hostname`	El host de recopilación de Logstash se asigna a `observer.ip` si es una dirección IP o a `observer.hostname` si es un nombre de host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	El host de transferencia de Logstash se asigna al campo `intermediary.hostname` del UDM.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	El host del proceso de Logstash se asigna al campo `intermediary.hostname` del UDM.
`program`	`read_only_udm.target.application`	El nombre del programa del registro sin procesar se asigna al campo `target.application` del UDM.
`serverip`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` del UDM.
`servername`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` del UDM.
`srcip`	`read_only_udm.principal.ip`	Cuando está presente, la IP de origen del registro sin procesar se asigna al campo `principal.ip` del UDM.
`srcport`	`read_only_udm.principal.port`	Cuando está presente, el puerto de origen del registro sin procesar se asigna al campo `principal.port` del UDM.
`syslog_host`	`read_only_udm.intermediary.hostname`	El host de syslog del registro sin procesar se asigna al campo `intermediary.hostname` del UDM.
`timestamp`	`read_only_udm.metadata.event_timestamp`	La marca de tiempo del registro sin procesar se analiza y se asigna al campo `metadata.event_timestamp` del UDM.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` del UDM.
`usermac`	`read_only_udm.principal.mac`	Cuando está presente, la dirección MAC del usuario del registro sin procesar se asigna al campo `principal.mac` del UDM.
`username`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` del UDM. Se deriva de `event_id` y la lógica dentro del analizador. El analizador lo determina según el ID del evento y el contenido del mensaje de registro. Se codificó como `Wireless`. Se codificó como `Aruba`. El analizador lo determina según el ID del evento y el contenido del mensaje de registro. El analizador lo determina según el ID del evento y el contenido del mensaje de registro. Se extrae del mensaje de registro sin procesar con una regex. El analizador lo determina según el ID del evento y el contenido del mensaje de registro. Se agrega un objeto vacío cuando event_type es USER_LOGIN o un evento de autenticación relacionado. El analizador lo determina según el protocolo de red que se usa en el evento (p.ej., TCP, UDP, ICMP, IGMP). Contiene campos adicionales extraídos del registro sin procesar según condiciones específicas. Por ejemplo, el `ap_name` se agrega como un par clave-valor cuando está presente. Se establece en `BSSID` cuando hay un BSSID presente en el contexto del principal. Se establece en `SSID` cuando hay un SSID presente en el contexto del objetivo. Contiene pares clave-valor de información de detección pertinente extraída del registro sin procesar, como el BSSID o el SSID.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.