Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del controlador inalámbrico y del punto de acceso de Aruba

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros del controlador inalámbrico y del punto de acceso de Aruba con Bindplane. El analizador procesa los mensajes SYSLOG y extrae campos relacionados con los detalles del observador, el intermediario y el punto de acceso. Luego, asigna estos campos al modelo de datos unificado (UDM), enriquece los datos del evento con la gravedad del resultado de seguridad y controla varias condiciones de error durante el proceso.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a un controlador inalámbrico Aruba.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el controlador y el punto de acceso inalámbricos de Aruba

Accede a la IU web del controlador Aruba.
Ve al menú de la parte superior y selecciona Configuración > Sistema.
Selecciona Registro para abrir la página de configuración de registro.
En la sección Syslog servers, haz clic en + Add para agregar un nuevo servidor syslog.
Aparecerá un nuevo formulario en el que deberás ingresar los siguientes detalles:
- Nombre: Ingresa un nombre único para el servidor de syslog, por ejemplo, Google SecOps Syslog.
- Dirección IP: Ingresa la dirección IP de Bindplane.
- Puerto: Ingresa el número de puerto de Bindplane (por lo general, 514 para UDP).
- Logging Facility: Selecciona local 6 en el menú (se usa comúnmente para dispositivos de red).
- Nivel de registro: Selecciona Información para capturar registros de información.
- Formato: Selecciona el formato bsd-standard (este es el formato de syslog predeterminado que usan los controladores de Aruba).
Haz clic en Enviar para guardar la configuración.
Haz clic en Cambios pendientes.
Haz clic en Implementar cambios para aplicar la nueva configuración del servidor de syslog.

Nota: Después de implementar los cambios, deberás configurar el nivel de registro para categorías específicas de registros.
Ve a la configuración de Nivel de registro y establece el Nivel de registro en Informativo para cada una de las siguientes categorías:
- Red
- Todos
- Clúster
- DHCP
- PJ
- Movilidad
- Packet-Dump
- SDN

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	El valor de `Additional Info` del registro sin procesar se asigna al campo `security_result.description` de la AUA.
`AP`	`read_only_udm.target.hostname`	Cuando está presente en el registro sin procesar, el valor después de `AP:` se extrae y se asigna al campo `target.hostname` de la UDM.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (cuando el tipo de recurso es BSSID)	El valor de BSSID del registro sin procesar se asigna a `target.mac`. También se usa como el nombre del recurso cuando `principal.resource.type` es `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	El valor del comando del registro sin procesar se asigna al campo `principal.process.command_line` de la UDM.
`Dst-MAC`	`read_only_udm.target.mac`	Cuando está presente, el valor de Dst-MAC del registro sin procesar se asigna al campo `target.mac` de la UDM.
`SERVER`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` de la UDM.
`SERVER-IP`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` de la UDM.
`Src-MAC`	`read_only_udm.principal.mac`	Cuando está presente, el valor de Src-MAC del registro sin procesar se asigna al campo `principal.mac` de la UDM.
`SSID`	`read_only_udm.target.resource.name` (cuando el tipo de recurso es SSID)	El valor de SSID del registro sin procesar se usa como nombre del recurso cuando `target.resource.type` es `SSID`.
`USER`	`read_only_udm.target.user.userid`	Cuando está presente, el ID de usuario del registro sin procesar se asigna al campo `target.user.userid` de la AUA.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` de la AUA.
`USERMAC`	`read_only_udm.principal.mac`	Cuando está presente, la MAC del usuario del registro sin procesar se asigna al campo `principal.mac` de la UDM.
`USERNAME`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` de la AUA.
`action`	`read_only_udm.security_result.action`	El valor de la acción del registro sin procesar (p.ej., `permit`, `deny`) se asigna al campo `security_result.action` del UDM.
`apname`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del AP del registro sin procesar se asigna al campo `target.hostname` de la UDM.
`bssid`	`read_only_udm.target.mac`	Cuando está presente, el valor de BSSID del registro sin procesar se asigna al campo `target.mac` de la UDM.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	El valor de segundos del tiempo de recopilación del registro sin procesar se asigna al campo `metadata.event_timestamp.seconds` de la AUA.
`device_ip`	`read_only_udm.intermediary.ip`	La IP del dispositivo del registro sin procesar o de `logstash` se asigna al campo `intermediary.ip` de la UDM.
`dstip`	`read_only_udm.target.ip`	Cuando está presente, la IP de destino del registro sin procesar se asigna al campo `target.ip` de la UDM.
`dstport`	`read_only_udm.target.port`	Cuando está presente, el puerto de destino del registro sin procesar se asigna al campo `target.port` de la UDM.
`event_id`	`read_only_udm.metadata.product_event_type`	El ID de evento del registro sin procesar se usa para crear el campo `metadata.product_event_type` en la AUA, con el prefijo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	El mensaje del evento del registro sin procesar se asigna al campo `security_result.summary` de la UDM.
`log.source.address`	`read_only_udm.observer.ip`	La dirección de origen del registro se asigna al campo `observer.ip` del UDM.
`log_type`	`read_only_udm.metadata.log_type`	El tipo de registro del registro sin procesar se asigna al campo `metadata.log_type` del UDM.
`logstash.collect.host`	`read_only_udm.observer.ip` o `read_only_udm.observer.hostname`	El host de recopilación de Logstash se asigna a `observer.ip` si es una dirección IP o a `observer.hostname` si es un nombre de host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	El host de transferencia de Logstash se asigna al campo `intermediary.hostname` del UDM.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	El host del proceso de Logstash se asigna al campo `intermediary.hostname` de la UDM.
`program`	`read_only_udm.target.application`	El nombre del programa del registro sin procesar se asigna al campo `target.application` de la UDM.
`serverip`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` de la UDM.
`servername`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` de la UDM.
`srcip`	`read_only_udm.principal.ip`	Cuando está presente, la IP de origen del registro sin procesar se asigna al campo `principal.ip` de la UDM.
`srcport`	`read_only_udm.principal.port`	Cuando está presente, el puerto de origen del registro sin procesar se asigna al campo `principal.port` de la UDM.
`syslog_host`	`read_only_udm.intermediary.hostname`	El host de syslog del registro sin procesar se asigna al campo `intermediary.hostname` del UDM.
`timestamp`	`read_only_udm.metadata.event_timestamp`	La marca de tiempo del registro sin procesar se analiza y se asigna al campo `metadata.event_timestamp` de la AUA.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` de la AUA.
`usermac`	`read_only_udm.principal.mac`	Cuando está presente, la MAC del usuario del registro sin procesar se asigna al campo `principal.mac` de la UDM.
`username`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` de la AUA. Se deriva de `event_id` y la lógica dentro del analizador. El analizador lo determina en función del ID del evento y el contenido del mensaje de registro. Se codifica en `Wireless`. Se codifica en `Aruba`. El analizador lo determina en función del ID del evento y el contenido del mensaje de registro. El analizador lo determina en función del ID del evento y el contenido del mensaje de registro. Se extrae del mensaje de registro sin procesar con una regex. El analizador lo determina en función del ID del evento y el contenido del mensaje de registro. Se agrega un objeto vacío cuando el valor de event_type es USER_LOGIN o un evento de autenticación relacionado. El analizador lo determina en función del protocolo de red que se usa en el evento (p.ej., TCP, UDP, ICMP, IGMP). Contiene campos adicionales extraídos del registro sin procesar según condiciones específicas. Por ejemplo, el `ap_name` se agrega como un par clave-valor cuando está presente. Se establece en `BSSID` cuando hay un BSSID presente en el contexto del principal. Se establece en `SSID` cuando hay un SSID en el contexto del destino. Contiene pares clave-valor de información de detección relevante extraída del registro sin procesar, como BSSID o SSID.

Cambios

2024-12-27

Mejora:

Se agregó un patrón de Grok para admitir el nuevo patrón de registros de syslog.

2024-09-04

Mejora:

Se agregó compatibilidad con un nuevo patrón de registros SYSLOG.

2024-08-26

Mejora:

Se agregó compatibilidad para controlar registros SYSLOG sin analizar.
Se asignó details a metadata.description.

2024-06-18

Mejora:

Se agregó compatibilidad para controlar registros SYSLOG sin analizar.

2024-04-18

Mejora:

Se agregó un patrón Grok para extraer un valor válido de ap_name.
Se asignó ap_name a additional.fields.

2023-05-25

Corrección de errores:

Los registros analizados fallan debido a un patrón de registro diferente.

2022-09-15

Corrección de errores:

Se modificó el patrón de Grok para analizar registros que pueden tener un campo de fecha en la marca de tiempo del registro y, además, es posible que ciertos registros no tengan la clave userip en el registro.
Se modificó metadata.event_type de GENERIC_EVENT a STATUS_UPDATE siempre que fue posible.

2022-08-23

Mejora:

Se migró el analizador específico del cliente al analizador predeterminado.
Se modificó la asignación de "metadata.event_type" de "GENERIC_EVENT" a "USER_RESOURCE_ACCESS", donde event_id es "132053".

2022-03-30

Mejora:

Se agregaron los siguientes IDs de evento nuevos: 124003, 126037, 126038, 199801, 235008, 235009, 304119, 306602, 326091, 326098, 326271, 326272, 326273, 326274, 326275, 326276, 326277, 326278, 326284, 341004, 350008, 351008, 358000, 393000, 399815, 520013, 522274 y 541004.
Se cambió metadata.event_type, en el que Event Id es 126034, 126064, 127064, 132006, 132030, 132093, 132094, 132197 de GENERIC_EVENT a SCAN_UNCATEGORIZED
Se cambió metadata.event_type donde Event Id es 132207 de GENERIC_EVENT a NETWORK_CONNECTION
Se cambió metadata.event_type donde Event Id es 520002 de GENERIC_EVENT a USER_UNCATEGORIZED
intermediary.hostname, intermediary.mac, intermediary.ip, target.application, target.process.pid asignados
Se asignaron logstash.irm_site, logstash.irm_environment y logstash.irm_region a additional.fields.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.