Esta página foi traduzida pela API Cloud Translation.

Coletar registros do controlador sem fio e do ponto de acesso da Aruba

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do controlador sem fio e do ponto de acesso da Aruba usando o Bindplane. O analisador processa mensagens SYSLOG, extraindo campos relacionados a detalhes do observador, do intermediário e do ponto de acesso. Em seguida, ele mapeia esses campos para o Modelo de dados unificado (UDM, na sigla em inglês), enriquecendo os dados de eventos com a gravidade do resultado de segurança e processando várias condições de erro durante o processo.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado a um controlador sem fio Aruba.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o controlador sem fio e o ponto de acesso da Aruba

Faça login na interface da Web do controlador Aruba.
Acesse o menu na parte de cima e selecione Configuração > Sistema.
Selecione Geração de registros para abrir a página de configuração.
Na seção Servidores Syslog, clique em + Adicionar para adicionar um novo servidor Syslog.
Um novo formulário vai aparecer para você inserir os seguintes detalhes:
- Nome: insira um nome exclusivo para o servidor syslog, por exemplo, Google SecOps Syslog.
- Endereço IP: insira o endereço IP do Bindplane.
- Porta: digite o número da porta do Bindplane (geralmente 514 para UDP).
- Facilidade de geração de registros: selecione local 6 no menu. Essa opção é usada com frequência para dispositivos de rede.
- Nível de geração de registros: selecione Informativo para capturar registros de informações.
- Formato: selecione o formato bsd-standard, que é o formato syslog padrão usado pelos controladores da Aruba.
Clique em Enviar para salvar as configurações.
Clique em Alterações pendentes.
Clique em Implantar mudanças para aplicar a nova configuração do servidor syslog.

Observação: depois de implantar as mudanças, você precisará configurar o nível de geração de registros para categorias específicas.
Acesse as configurações de Nível de registro e defina o Nível de registro como Informativo para cada uma das seguintes categorias:
- Rede
- Todos
- Cluster
- DHCP
- GP
- Questões de mobilidade
- Packet-Dump
- SDN

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	O valor de `Additional Info` do registro bruto é mapeado para o campo `security_result.description` do UDM.
`AP`	`read_only_udm.target.hostname`	Quando presente no registro bruto, o valor após `AP:` é extraído e mapeado para o campo `target.hostname` da UDM.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (quando o tipo de recurso é BSSID)	O valor BSSID do registro bruto é mapeado para `target.mac`. Ele também é usado como o nome do recurso quando o `principal.resource.type` é `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	O valor do comando do registro bruto é mapeado para o campo `principal.process.command_line` do UDM.
`Dst-MAC`	`read_only_udm.target.mac`	Quando presente, o valor Dst-MAC do registro bruto é mapeado para o campo `target.mac` do UDM.
`SERVER`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registro bruto é mapeado para o campo `target.hostname` do UDM.
`SERVER-IP`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registro bruto é mapeado para o campo `target.ip` da UDM.
`Src-MAC`	`read_only_udm.principal.mac`	Quando presente, o valor Src-MAC do registro bruto é mapeado para o campo `principal.mac` do UDM.
`SSID`	`read_only_udm.target.resource.name` (quando o tipo de recurso é SSID)	O valor do SSID do registro bruto é usado como o nome do recurso quando `target.resource.type` é `SSID`.
`USER`	`read_only_udm.target.user.userid`	Quando presente, o ID do usuário do registro bruto é mapeado para o campo `target.user.userid` da UDM.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do usuário do registro bruto é mapeado para os campos `principal.ip` e `observer.ip` da UDM.
`USERMAC`	`read_only_udm.principal.mac`	Quando presente, o MAC do usuário do registro bruto é mapeado para o campo `principal.mac` da UDM.
`USERNAME`	`read_only_udm.principal.user.userid`	Quando presente, o nome de usuário do registro bruto é mapeado para o campo `principal.user.userid` do UDM.
`action`	`read_only_udm.security_result.action`	O valor da ação do registro bruto (por exemplo, `permit`, `deny`) é mapeado para o campo `security_result.action` do UDM.
`apname`	`read_only_udm.target.hostname`	Quando presente, o nome do AP do registro bruto é mapeado para o campo `target.hostname` do UDM.
`bssid`	`read_only_udm.target.mac`	Quando presente, o valor do BSSID do registro bruto é mapeado para o campo `target.mac` do UDM.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	O valor de segundos do horário de coleta do registro bruto é mapeado para o campo `metadata.event_timestamp.seconds` do UDM.
`device_ip`	`read_only_udm.intermediary.ip`	O IP do dispositivo do registro bruto ou de `logstash` é mapeado para o campo `intermediary.ip` do UDM.
`dstip`	`read_only_udm.target.ip`	Quando presente, o IP de destino do registro bruto é mapeado para o campo `target.ip` da UDM.
`dstport`	`read_only_udm.target.port`	Quando presente, a porta de destino do registro bruto é mapeada para o campo `target.port` do UDM.
`event_id`	`read_only_udm.metadata.product_event_type`	O ID do evento do registro bruto é usado para criar o campo `metadata.product_event_type` na UDM, com o prefixo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	A mensagem de evento do registro bruto é mapeada para o campo `security_result.summary` do UDM.
`log.source.address`	`read_only_udm.observer.ip`	O endereço da origem do registro é mapeado para o campo `observer.ip` do UDM.
`log_type`	`read_only_udm.metadata.log_type`	O tipo de registro do registro bruto é mapeado para o campo `metadata.log_type` do UDM.
`logstash.collect.host`	`read_only_udm.observer.ip` ou `read_only_udm.observer.hostname`	O host de coleta do Logstash é mapeado para `observer.ip` se for um endereço IP ou `observer.hostname` se for um nome de host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	O host de ingestão do Logstash é mapeado para o campo `intermediary.hostname` do UDM.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	O host do processo logstash é mapeado para o campo `intermediary.hostname` do UDM.
`program`	`read_only_udm.target.application`	O nome do programa do registro bruto é mapeado para o campo `target.application` do UDM.
`serverip`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registro bruto é mapeado para o campo `target.ip` da UDM.
`servername`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registro bruto é mapeado para o campo `target.hostname` do UDM.
`srcip`	`read_only_udm.principal.ip`	Quando presente, o IP de origem do registro bruto é mapeado para o campo `principal.ip` do UDM.
`srcport`	`read_only_udm.principal.port`	Quando presente, a porta de origem do registro bruto é mapeada para o campo `principal.port` do UDM.
`syslog_host`	`read_only_udm.intermediary.hostname`	O host syslog do registro bruto é mapeado para o campo `intermediary.hostname` do UDM.
`timestamp`	`read_only_udm.metadata.event_timestamp`	O carimbo de data/hora do registro bruto é analisado e mapeado para o campo `metadata.event_timestamp` do UDM.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do usuário do registro bruto é mapeado para os campos `principal.ip` e `observer.ip` da UDM.
`usermac`	`read_only_udm.principal.mac`	Quando presente, o MAC do usuário do registro bruto é mapeado para o campo `principal.mac` da UDM.
`username`	`read_only_udm.principal.user.userid`	Quando presente, o nome de usuário do registro bruto é mapeado para o campo `principal.user.userid` do UDM. Derivado do `event_id` e da lógica no analisador. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Fixado no código como `Wireless`. Fixado no código como `Aruba`. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Extraído da mensagem de registro bruta usando regex. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Um objeto vazio é adicionado quando o event_type é USER_LOGIN ou um evento de autenticação relacionado. Determinado pelo analisador com base no protocolo de rede usado no evento (por exemplo, TCP, UDP, ICMP, IGMP). Contém campos adicionais extraídos do registro bruto com base em condições específicas. Por exemplo, o `ap_name` é adicionado como um par de chave-valor quando está presente. Definido como `BSSID` quando um BSSID está presente no contexto do principal. Definido como `SSID` quando um SSID está presente no contexto do destino. Contém pares de chave-valor de informações de detecção relevantes extraídas do registro bruto, como BSSID ou SSID.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.