Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del controller wireless e del punto di accesso Aruba

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log del controller wireless e del punto di accesso Aruba utilizzando Bindplane. Il parser elabora i messaggi SYSLOG, estraendo i campi relativi ai dettagli di osservatore, intermediario e punto di accesso. Quindi, mappa questi campi con Unified Data Model (UDM), arricchendo i dati degli eventi con la gravità del risultato di sicurezza e gestendo varie condizioni di errore durante il processo.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a un controller wireless Aruba.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare il controller wireless e il punto di accesso Aruba

Accedi all'UI web del controller Aruba.
Vai al menu in alto e seleziona Configurazione > Sistema.
Seleziona Logging per aprire la pagina di configurazione della registrazione.
Nella sezione Server Syslog, fai clic su + Aggiungi per aggiungere un nuovo server Syslog.
Verrà visualizzato un nuovo modulo in cui devi inserire i seguenti dettagli:
- Nome: inserisci un nome univoco per il server syslog, ad esempio Google SecOps Syslog.
- Indirizzo IP: inserisci l'indirizzo IP di Bindplane.
- Porta: inserisci il numero di porta di Bindplane (in genere 514 per UDP).
- Logging Facility: seleziona local 6 dal menu (questo valore viene comunemente utilizzato per i dispositivi di rete).
- Livello di logging: seleziona Informativo per acquisire i log informativi.
- Formato: seleziona il formato bsd-standard (questo è il formato syslog predefinito utilizzato dai controller Aruba).
Fai clic su Invia per salvare le impostazioni.
Fai clic su Modifiche in attesa.
Fai clic su Implementa modifiche per applicare la nuova configurazione del server syslog.

Nota :dopo aver implementato le modifiche, dovrai configurare il livello di logging per categorie specifiche di log.
Vai alle impostazioni Livello di registrazione e imposta il Livello di registrazione su Informativo per ciascuna delle seguenti categorie:
- Rete
- Tutti
- Cluster
- DHCP
- GP
- Difficoltà di deambulazione
- Packet-Dump
- SDN

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`Additional Info`	`read_only_udm.security_result.description`	Il valore di `Additional Info` del log non elaborato viene mappato al campo UDM `security_result.description`.
`AP`	`read_only_udm.target.hostname`	Se presente nel log non elaborato, il valore dopo `AP:` viene estratto e mappato al campo UDM `target.hostname`.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (quando il tipo di risorsa è BSSID)	Il valore BSSID del log non elaborato viene mappato a `target.mac`. Viene utilizzato anche come nome della risorsa quando `principal.resource.type` è `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	Il valore del comando del log non elaborato viene mappato al campo UDM `principal.process.command_line`.
`Dst-MAC`	`read_only_udm.target.mac`	Se presente, il valore Dst-MAC del log non elaborato viene mappato al campo UDM `target.mac`.
`SERVER`	`read_only_udm.target.hostname`	Se presente, il nome del server del log non elaborato viene mappato al campo UDM `target.hostname`.
`SERVER-IP`	`read_only_udm.target.ip`	Se presente, l'IP del server del log non elaborato viene mappato al campo UDM `target.ip`.
`Src-MAC`	`read_only_udm.principal.mac`	Se presente, il valore Src-MAC del log non elaborato viene mappato al campo UDM `principal.mac`.
`SSID`	`read_only_udm.target.resource.name` (quando il tipo di risorsa è SSID)	Il valore SSID del log non elaborato viene utilizzato come nome della risorsa quando `target.resource.type` è `SSID`.
`USER`	`read_only_udm.target.user.userid`	Se presente, l'ID utente del log non elaborato viene mappato al campo UDM `target.user.userid`.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Se presente, l'IP utente del log non elaborato viene mappato ai campi UDM `principal.ip` e `observer.ip`.
`USERMAC`	`read_only_udm.principal.mac`	Se presente, il MAC dell'utente del log non elaborato viene mappato al campo UDM `principal.mac`.
`USERNAME`	`read_only_udm.principal.user.userid`	Se presente, il nome utente del log non elaborato viene mappato al campo UDM `principal.user.userid`.
`action`	`read_only_udm.security_result.action`	Il valore dell'azione del log non elaborato (ad es. `permit`, `deny`) viene mappato al campo UDM `security_result.action`.
`apname`	`read_only_udm.target.hostname`	Se presente, il nome del punto di accesso del log non elaborato viene mappato al campo UDM `target.hostname`.
`bssid`	`read_only_udm.target.mac`	Se presente, il valore BSSID del log non elaborato viene mappato al campo UDM `target.mac`.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	Il valore dei secondi dell'ora di raccolta del log non elaborato viene mappato al campo UDM `metadata.event_timestamp.seconds`.
`device_ip`	`read_only_udm.intermediary.ip`	L'IP del dispositivo dal log non elaborato o da `logstash` viene mappato al campo UDM `intermediary.ip`.
`dstip`	`read_only_udm.target.ip`	Se presente, l'IP di destinazione del log non elaborato viene mappato al campo UDM `target.ip`.
`dstport`	`read_only_udm.target.port`	Se presente, la porta di destinazione del log non elaborato viene mappata al campo UDM `target.port`.
`event_id`	`read_only_udm.metadata.product_event_type`	L'ID evento del log non elaborato viene utilizzato per creare il campo `metadata.product_event_type` nell'UDM, con il prefisso `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	Il messaggio dell'evento del log non elaborato viene mappato al campo UDM `security_result.summary`.
`log.source.address`	`read_only_udm.observer.ip`	L'indirizzo dell'origine log è mappato al campo UDM `observer.ip`.
`log_type`	`read_only_udm.metadata.log_type`	Il tipo di log del log non elaborato viene mappato al campo UDM `metadata.log_type`.
`logstash.collect.host`	`read_only_udm.observer.ip` o `read_only_udm.observer.hostname`	L'host di raccolta Logstash è mappato a `observer.ip` se è un indirizzo IP o a `observer.hostname` se è un nome host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	L'host di importazione Logstash è mappato al campo UDM `intermediary.hostname`.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	L'host del processo Logstash è mappato al campo UDM `intermediary.hostname`.
`program`	`read_only_udm.target.application`	Il nome del programma del log non elaborato viene mappato al campo UDM `target.application`.
`serverip`	`read_only_udm.target.ip`	Se presente, l'IP del server del log non elaborato viene mappato al campo UDM `target.ip`.
`servername`	`read_only_udm.target.hostname`	Se presente, il nome del server del log non elaborato viene mappato al campo UDM `target.hostname`.
`srcip`	`read_only_udm.principal.ip`	Se presente, l'IP di origine del log non elaborato viene mappato al campo UDM `principal.ip`.
`srcport`	`read_only_udm.principal.port`	Se presente, la porta di origine del log non elaborato viene mappata al campo UDM `principal.port`.
`syslog_host`	`read_only_udm.intermediary.hostname`	L'host syslog del log non elaborato viene mappato al campo UDM `intermediary.hostname`.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Il timestamp del log non elaborato viene analizzato e mappato al campo UDM `metadata.event_timestamp`.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Se presente, l'IP utente del log non elaborato viene mappato ai campi UDM `principal.ip` e `observer.ip`.
`usermac`	`read_only_udm.principal.mac`	Se presente, il MAC dell'utente del log non elaborato viene mappato al campo UDM `principal.mac`.
`username`	`read_only_udm.principal.user.userid`	Se presente, il nome utente del log non elaborato viene mappato al campo UDM `principal.user.userid`. Derivato da `event_id` e dalla logica all'interno del parser. Determinato dal parser in base all'ID evento e ai contenuti del messaggio di log. Codificato in modo permanente su `Wireless`. Codificato in modo permanente su `Aruba`. Determinato dal parser in base all'ID evento e ai contenuti del messaggio di log. Determinato dal parser in base all'ID evento e ai contenuti del messaggio di log. Estratto dal messaggio di log non elaborato utilizzando le espressioni regolari. Determinato dal parser in base all'ID evento e ai contenuti del messaggio di log. Viene aggiunto un oggetto vuoto quando event_type è USER_LOGIN o un evento di autenticazione correlato. Determinato dal parser in base al protocollo di rete utilizzato nell'evento (ad es. TCP, UDP, ICMP, IGMP). Contiene campi aggiuntivi estratti dal log non elaborato in base a condizioni specifiche. Ad esempio, `ap_name` viene aggiunto come coppia chiave-valore quando è presente. Impostato su `BSSID` quando è presente un BSSID nel contesto dell'entità. Imposta su `SSID` quando è presente un SSID nel contesto del target. Contiene coppie chiave-valore di informazioni di rilevamento pertinenti estratte dal log non elaborato, come BSSID o SSID.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.