Aruba ワイヤレス コントローラとアクセス ポイントのログを収集する
このドキュメントでは、Bindplane を使用して Aruba Wireless Controller とアクセス ポイントのログを収集する方法について説明します。パーサーは SYSLOG メッセージを処理し、オブザーバー、仲介者、アクセス ポイントの詳細に関連するフィールドを抽出します。次に、これらのフィールドを統合データモデル(UDM)にマッピングし、セキュリティ結果の重大度でイベントデータを拡充し、プロセス中にさまざまなエラー条件を処理します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemd
を使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Aruba ワイヤレス コントローラへの特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ARUBA_WIRELESS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>
は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Aruba ワイヤレス コントローラとアクセス ポイントを構成する
- Aruba コントローラのウェブ UI にログインします。
- 上部のメニューで、[構成> システム] を選択します。
- [ロギング] を選択して、ロギング構成ページを開きます。
- [Syslog servers] セクションで、[+ Add] をクリックして新しい Syslog サーバーを追加します。
- 新しいフォームが表示されます。次の詳細情報を入力する必要があります。
- 名前: syslog サーバーの一意の名前を入力します(例:
Google SecOps Syslog
)。 - IP アドレス: Bindplane の IP アドレスを入力します。
- ポート: Bindplane ポート番号を入力します(通常、UDP の場合は 514)。
- ロギング ファシリティ: メニューから [local 6] を選択します(これは通常、ネットワーク デバイスで使用されます)。
- ロギング レベル: 情報ログをキャプチャするには、[Informational] を選択します。
- 形式: bsd-standard 形式を選択します(これは、Aruba コントローラで使用されるデフォルトの syslog 形式です)。
- 名前: syslog サーバーの一意の名前を入力します(例:
- [送信] をクリックして設定を保存します。
- [保留中の変更] をクリックします。
[変更をデプロイ] をクリックして、新しい syslog サーバー構成を適用します。
[ロギング レベル] 設定に移動し、次の各カテゴリの [ロギング レベル] を [情報] に設定します。
- ネットワーク
- すべて
- クラスタ
- DHCP
- GP
- モビリティ
- Packet-Dump
- SDN
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
Additional Info |
read_only_udm.security_result.description |
未加工ログの Additional Info の値は、UDM フィールド security_result.description にマッピングされます。 |
AP |
read_only_udm.target.hostname |
未加工ログに存在する場合、AP: の後の値が抽出され、UDM フィールド target.hostname にマッピングされます。 |
BSSID |
read_only_udm.target.mac 、read_only_udm.principal.resource.name (リソースタイプが BSSID の場合) |
未加工ログの BSSID 値は target.mac にマッピングされます。principal.resource.type が BSSID の場合、リソース名としても使用されます。 |
COMMAND |
read_only_udm.principal.process.command_line |
未加工ログのコマンド値は、UDM フィールド principal.process.command_line にマッピングされます。 |
Dst-MAC |
read_only_udm.target.mac |
存在する場合、未加工ログの Dst-MAC 値は UDM フィールド target.mac にマッピングされます。 |
SERVER |
read_only_udm.target.hostname |
存在する場合、未加工ログのサーバー名は UDM フィールド target.hostname にマッピングされます。 |
SERVER-IP |
read_only_udm.target.ip |
存在する場合、未加工ログのサーバー IP は UDM フィールド target.ip にマッピングされます。 |
Src-MAC |
read_only_udm.principal.mac |
存在する場合、未加工ログの Src-MAC 値は UDM フィールド principal.mac にマッピングされます。 |
SSID |
read_only_udm.target.resource.name (リソースタイプが SSID の場合) |
target.resource.type が SSID の場合、未加工ログの SSID 値がリソース名として使用されます。 |
USER |
read_only_udm.target.user.userid |
存在する場合、未加工ログのユーザー ID は UDM フィールド target.user.userid にマッピングされます。 |
USERIP |
read_only_udm.principal.ip 、read_only_udm.observer.ip |
未加工ログにユーザー IP が存在する場合、その IP は UDM フィールド principal.ip と observer.ip にマッピングされます。 |
USERMAC |
read_only_udm.principal.mac |
存在する場合、未加工ログのユーザー MAC は UDM フィールド principal.mac にマッピングされます。 |
USERNAME |
read_only_udm.principal.user.userid |
存在する場合、未加工ログのユーザー名は UDM フィールド principal.user.userid にマッピングされます。 |
action |
read_only_udm.security_result.action |
未加工ログのアクション値(例: permit 、deny )は、UDM フィールド security_result.action にマッピングされます。 |
apname |
read_only_udm.target.hostname |
未加工ログに AP 名が存在する場合、その名前は UDM フィールド target.hostname にマッピングされます。 |
bssid |
read_only_udm.target.mac |
存在する場合、未加工ログの BSSID 値は UDM フィールド target.mac にマッピングされます。 |
collection_time.seconds |
read_only_udm.metadata.event_timestamp.seconds |
未加工ログの収集時間の秒の値は、UDM フィールド metadata.event_timestamp.seconds にマッピングされます。 |
device_ip |
read_only_udm.intermediary.ip |
未加工ログまたは logstash のデバイス IP は、UDM フィールド intermediary.ip にマッピングされます。 |
dstip |
read_only_udm.target.ip |
存在する場合、未加工ログの宛先 IP は UDM フィールド target.ip にマッピングされます。 |
dstport |
read_only_udm.target.port |
存在する場合、未加工ログの宛先ポートは UDM フィールド target.port にマッピングされます。 |
event_id |
read_only_udm.metadata.product_event_type |
未加工ログのイベント ID は、Event ID: を接頭辞として UDM の metadata.product_event_type フィールドを構築するために使用されます。 |
event_message |
read_only_udm.security_result.summary |
未加工ログのイベント メッセージは、UDM フィールド security_result.summary にマッピングされます。 |
log.source.address |
read_only_udm.observer.ip |
ログソースのアドレスは UDM フィールド observer.ip にマッピングされます。 |
log_type |
read_only_udm.metadata.log_type |
未加工ログのログタイプは、UDM フィールド metadata.log_type にマッピングされます。 |
logstash.collect.host |
read_only_udm.observer.ip または read_only_udm.observer.hostname |
Logstash 収集ホストは、IP アドレスの場合は observer.ip に、ホスト名の場合は observer.hostname にマッピングされます。 |
logstash.ingest.host |
read_only_udm.intermediary.hostname |
Logstash 取り込みホストは UDM フィールド intermediary.hostname にマッピングされます。 |
logstash.process.host |
read_only_udm.intermediary.hostname |
Logstash プロセスホストは UDM フィールド intermediary.hostname にマッピングされます。 |
program |
read_only_udm.target.application |
未加工ログのプログラム名は、UDM フィールド target.application にマッピングされます。 |
serverip |
read_only_udm.target.ip |
存在する場合、未加工ログのサーバー IP は UDM フィールド target.ip にマッピングされます。 |
servername |
read_only_udm.target.hostname |
存在する場合、未加工ログのサーバー名は UDM フィールド target.hostname にマッピングされます。 |
srcip |
read_only_udm.principal.ip |
存在する場合、未加工ログの送信元 IP は UDM フィールド principal.ip にマッピングされます。 |
srcport |
read_only_udm.principal.port |
存在する場合、未加工ログの送信元ポートは UDM フィールド principal.port にマッピングされます。 |
syslog_host |
read_only_udm.intermediary.hostname |
未加工ログの syslog ホストは、UDM フィールド intermediary.hostname にマッピングされます。 |
timestamp |
read_only_udm.metadata.event_timestamp |
未加工ログのタイムスタンプが解析され、UDM フィールド metadata.event_timestamp にマッピングされます。 |
userip |
read_only_udm.principal.ip 、read_only_udm.observer.ip |
未加工ログにユーザー IP が存在する場合、その IP は UDM フィールド principal.ip と observer.ip にマッピングされます。 |
usermac |
read_only_udm.principal.mac |
存在する場合、未加工ログのユーザー MAC は UDM フィールド principal.mac にマッピングされます。 |
username |
read_only_udm.principal.user.userid |
存在する場合、未加工ログのユーザー名は UDM フィールド principal.user.userid にマッピングされます。event_id とパーサー内のロジックから取得されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。Wireless にハードコードされています。Aruba にハードコードされています。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。正規表現を使用して未加工ログのメッセージから抽出されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。event_type が USER_LOGIN または関連する認証イベントの場合、空のオブジェクトが追加されます。イベントで使用されたネットワーク プロトコル(TCP、UDP、ICMP、IGMP)。特定の条件に基づいて未加工ログから抽出された追加フィールドが含まれます。たとえば、ap_name は存在する場合に Key-Value ペアとして追加されます。プリンシパルのコンテキストに BSSID が存在する場合は BSSID に設定します。ターゲットのコンテキストに SSID が存在する場合は SSID に設定します。BSSID や SSID など、未加工のログから抽出された関連する検出情報の Key-Value ペアが含まれます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。