Esta página foi traduzida pela API Cloud Translation.

Coletar registros do controlador e do ponto de acesso sem fio Aruba

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do controlador sem fio Aruba e do ponto de acesso usando o Bindplane. O analisador processa mensagens SYSLOG, extraindo campos relacionados a detalhes de observador, intermediário e ponto de acesso. Em seguida, ele mapeia esses campos para o modelo de dados unificado (UDM, na sigla em inglês), enriquecendo os dados do evento com a gravidade do resultado de segurança e processando várias condições de erro.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado a um controlador sem fio Aruba.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o controlador e o ponto de acesso sem fio Aruba

Faça login na interface da Web do controlador Aruba.
Acesse o menu superior e selecione Configuração > Sistema.
Selecione Registro para abrir a página de configuração de registro.
Na seção Servidor syslog, clique em + Adicionar para adicionar um novo servidor syslog.
Um novo formulário vai aparecer, e você vai precisar inserir os seguintes detalhes:
- Nome: insira um nome exclusivo para o servidor syslog. Por exemplo, Google SecOps Syslog.
- Endereço IP: insira o endereço IP do Bindplane.
- Porta: digite o número da porta do Bindplane (geralmente 514 para UDP).
- Logging Facility: selecione local 6 no menu (geralmente usado para dispositivos de rede).
- Nível de registro: selecione Informativo para capturar registros de informações.
- Formato: selecione o formato bsd-standard (este é o formato syslog padrão usado pelos controladores Aruba).
Clique em Enviar para salvar as configurações.
Clique em Alterações pendentes.
Clique em Implantar mudanças para aplicar a nova configuração do servidor syslog.

Observação: depois de implantar as mudanças, você vai precisar configurar o nível de registro para categorias específicas de registros.
Acesse as configurações de Nível de registro e defina o Nível de registro como Informativo para cada uma das seguintes categorias:
- Rede
- Todos
- Cluster
- DHCP
- GP
- Questões de mobilidade
- Packet-Dump
- SDN

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	O valor de `Additional Info` do registro bruto é mapeado para o campo `security_result.description` do UDM.
`AP`	`read_only_udm.target.hostname`	Quando presente no registro bruto, o valor após `AP:` é extraído e mapeado para o campo `target.hostname` do UDM.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (quando o tipo de recurso é BSSID)	O valor do BSSID do registro bruto é mapeado para `target.mac`. Ele também é usado como o nome do recurso quando o `principal.resource.type` é `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	O valor do comando do registro bruto é mapeado para o campo `principal.process.command_line` do UDM.
`Dst-MAC`	`read_only_udm.target.mac`	Quando presente, o valor Dst-MAC do registro bruto é mapeado para o campo `target.mac` do UDM.
`SERVER`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registro bruto é mapeado para o campo `target.hostname` do UDM.
`SERVER-IP`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registro bruto é mapeado para o campo `target.ip` do UDM.
`Src-MAC`	`read_only_udm.principal.mac`	Quando presente, o valor Src-MAC do registro bruto é mapeado para o campo `principal.mac` do UDM.
`SSID`	`read_only_udm.target.resource.name` (quando o tipo de recurso é SSID)	O valor do SSID do registro bruto é usado como o nome do recurso quando o `target.resource.type` é `SSID`.
`USER`	`read_only_udm.target.user.userid`	Quando presente, o ID do usuário do registro bruto é mapeado para o campo `target.user.userid` do UDM.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do usuário do registro bruto é mapeado para o campo `principal.ip` e `observer.ip` do UDM.
`USERMAC`	`read_only_udm.principal.mac`	Quando presente, o MAC do usuário do registro bruto é mapeado para o campo `principal.mac` do UDM.
`USERNAME`	`read_only_udm.principal.user.userid`	Quando presente, o nome de usuário do registro bruto é mapeado para o campo `principal.user.userid` do UDM.
`action`	`read_only_udm.security_result.action`	O valor da ação do registro bruto (por exemplo, `permit`, `deny`) é mapeado para o campo `security_result.action` do UDM.
`apname`	`read_only_udm.target.hostname`	Quando presente, o nome do AP do registro bruto é mapeado para o campo `target.hostname` do UDM.
`bssid`	`read_only_udm.target.mac`	Quando presente, o valor do BSSID do registro bruto é mapeado para o campo `target.mac` do UDM.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	O valor em segundos do tempo de coleta do registro bruto é mapeado para o campo `metadata.event_timestamp.seconds` do UDM.
`device_ip`	`read_only_udm.intermediary.ip`	O IP do dispositivo do registro bruto ou de `logstash` é mapeado para o campo UDM `intermediary.ip`.
`dstip`	`read_only_udm.target.ip`	Quando presente, o IP de destino do registro bruto é mapeado para o campo `target.ip` do UDM.
`dstport`	`read_only_udm.target.port`	Quando presente, a porta de destino do registro bruto é mapeada para o campo `target.port` do UDM.
`event_id`	`read_only_udm.metadata.product_event_type`	O ID do evento do registro bruto é usado para criar o campo `metadata.product_event_type` no UDM, com o prefixo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	A mensagem de evento do registro bruto é mapeada para o campo `security_result.summary` da UDM.
`log.source.address`	`read_only_udm.observer.ip`	O endereço de origem do registro é mapeado para o campo `observer.ip` da UDM.
`log_type`	`read_only_udm.metadata.log_type`	O tipo de registro do registro bruto é mapeado para o campo `metadata.log_type` do UDM.
`logstash.collect.host`	`read_only_udm.observer.ip` ou `read_only_udm.observer.hostname`	O host de coleta do Logstash é mapeado para `observer.ip` se for um endereço IP ou `observer.hostname` se for um nome de host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	O host de transferência de logstash é mapeado para o campo `intermediary.hostname` do UDM.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	O host do processo do Logstash é mapeado para o campo `intermediary.hostname` do UDM.
`program`	`read_only_udm.target.application`	O nome do programa do registro bruto é mapeado para o campo `target.application` do UDM.
`serverip`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registro bruto é mapeado para o campo `target.ip` do UDM.
`servername`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registro bruto é mapeado para o campo `target.hostname` do UDM.
`srcip`	`read_only_udm.principal.ip`	Quando presente, o IP de origem do registro bruto é mapeado para o campo `principal.ip` do UDM.
`srcport`	`read_only_udm.principal.port`	Quando presente, a porta de origem do registro bruto é mapeada para o campo `principal.port` do UDM.
`syslog_host`	`read_only_udm.intermediary.hostname`	O host syslog do registro bruto é mapeado para o campo `intermediary.hostname` do UDM.
`timestamp`	`read_only_udm.metadata.event_timestamp`	O carimbo de data/hora do registro bruto é analisado e mapeado para o campo `metadata.event_timestamp` do UDM.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do usuário do registro bruto é mapeado para o campo `principal.ip` e `observer.ip` do UDM.
`usermac`	`read_only_udm.principal.mac`	Quando presente, o MAC do usuário do registro bruto é mapeado para o campo `principal.mac` do UDM.
`username`	`read_only_udm.principal.user.userid`	Quando presente, o nome de usuário do registro bruto é mapeado para o campo `principal.user.userid` do UDM. Derivado da `event_id` e da lógica no analisador. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Fixado em `Wireless`. Fixado em `Aruba`. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Extraídos da mensagem de registro bruta usando regex. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registro. Um objeto vazio é adicionado quando o event_type é USER_LOGIN ou um evento de autenticação relacionado. Determinado pelo analisador com base no protocolo de rede usado no evento (por exemplo, TCP, UDP, ICMP, IGMP). Contém campos adicionais extraídos do registro bruto com base em condições específicas. Por exemplo, o `ap_name` é adicionado como um par de chave-valor quando está presente. Definido como `BSSID` quando um BSSID está presente no contexto do principal. Definido como `SSID` quando um SSID está presente no contexto do destino. Contém pares de chave-valor de informações de detecção relevantes extraídas do registro bruto, como BSSID ou SSID.

Alterações

2024-12-27

Melhoria:

Foi adicionado um padrão Grok para oferecer suporte a um novo padrão de registros syslog.

2024-09-04

Melhoria:

Adição de suporte a um novo padrão de registros SYSLOG.

2024-08-26

Melhoria:

Foi adicionado suporte para processar registros SYSLOG não analisados.
details foi mapeado para metadata.description.

2024-06-18

Melhoria:

Foi adicionado suporte para processar registros SYSLOG não analisados.

2024-04-18

Melhoria:

Um padrão Grok foi adicionado para extrair o valor válido de ap_name.
ap_name foi mapeado para additional.fields.

2023-05-25

Correção de bugs:

Os registros analisados falharam devido a um padrão de registro diferente.

2022-09-15

Correção de bugs:

O padrão grok foi modificado para analisar registros que podem ter um campo de data no carimbo de data/hora do registro. Além disso, alguns registros podem não ter a chave userip.
O metadata.event_type foi modificado de GENERIC_EVENT para STATUS_UPDATE sempre que possível.

2022-08-23

Melhoria:

O analisador específico do cliente foi migrado para o analisador padrão.
O mapeamento de "metadata.event_type" foi modificado de "GENERIC_EVENT" para "USER_RESOURCE_ACCESS", em que event_id é "132053".

2022-03-30

Melhoria:

Foram adicionados os seguintes novos IDs de evento: 124003, 126037, 126038, 199801, 235008, 235009, 304119, 306602, 326091, 326098, 326271, 326272, 326273, 326274, 326275, 326276, 326277, 326278, 326284, 341004, 350008, 351008, 358000, 393000, 399815, 520013, 522274, 541004
metadata.event_type alterado, em que Event Id é 126034, 126064, 127064, 132006, 132030, 132093, 132094, 132197 de GENERIC_EVENT para SCAN_UNCATEGORIZED
metadata.event_type foi alterado, em que Event Id é 132207, de GENERIC_EVENT para NETWORK_CONNECTION
metadata.event_type foi alterado, em que Event Id é 520002, de GENERIC_EVENT para USER_UNCATEGORIZED
intermediary.hostname, intermediary.mac, intermediary.ip, target.application e target.process.pid mapeados
logstash.irm_site, logstash.irm_environment e logstash.irm_region foram mapeados para additional.fields

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.