收集 Aruba Wireless Controller 和接入点日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 收集 Aruba Wireless Controller 和 Access Point 日志。解析器会处理 SYSLOG 消息,提取与观察器、中介和接入点详细信息相关的字段。然后,它会将这些字段映射到统一数据模型 (UDM),使用安全结果严重性丰富事件数据,并处理过程中的各种错误情况。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了
systemd的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Aruba Wireless Controller 的超级用户访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ARUBA_WIRELESS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Aruba 无线控制器和接入点
- 登录 Aruba 控制器 Web 界面。
- 前往顶部菜单,然后依次选择配置 > 系统。
- 选择日志记录以打开日志记录配置页面。
- 在 Syslog 服务器部分,点击 + 添加以添加新的 syslog 服务器。
- 系统会显示一个新表单,您需要在其中输入以下详细信息:
- 名称:为 Syslog 服务器输入一个唯一的名称;例如
Google SecOps Syslog。 - IP 地址:输入绑定平面 IP 地址。
- 端口:输入绑定层端口号(UDP 通常为 514)。
- 日志记录设施:从菜单中选择 local 6(这通常用于网络设备)。
- 日志记录级别:选择信息以捕获信息日志。
- 格式:选择 bsd-standard 格式(这是 Aruba 控制器使用的默认 syslog 格式)。
- 名称:为 Syslog 服务器输入一个唯一的名称;例如
- 点击提交,保存您的设置。
- 点击待处理的更改。
点击部署更改以应用新的 syslog 服务器配置。
前往日志记录级别设置,然后将以下每个类别的日志记录级别设置为信息:
- 网络
- 全部
- 集群
- DHCP
- GP
- 行动不便
- Packet-Dump
- SDN
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Additional Info |
read_only_udm.security_result.description |
原始日志中的 Additional Info 值会映射到 UDM 字段 security_result.description。 |
AP |
read_only_udm.target.hostname |
如果原始日志中存在 AP: 后面的值,系统会将其提取并映射到 UDM 字段 target.hostname。 |
BSSID |
read_only_udm.target.mac、read_only_udm.principal.resource.name(当资源类型为 BSSID 时) |
原始日志中的 BSSID 值会映射到 target.mac。当 principal.resource.type 为 BSSID 时,它还会用作资源名称。 |
COMMAND |
read_only_udm.principal.process.command_line |
原始日志中的命令值会映射到 UDM 字段 principal.process.command_line。 |
Dst-MAC |
read_only_udm.target.mac |
如果存在,原始日志中的 Dst-MAC 值会映射到 UDM 字段 target.mac。 |
SERVER |
read_only_udm.target.hostname |
如果存在,原始日志中的服务器名称会映射到 UDM 字段 target.hostname。 |
SERVER-IP |
read_only_udm.target.ip |
如果存在,原始日志中的服务器 IP 会映射到 UDM 字段 target.ip。 |
Src-MAC |
read_only_udm.principal.mac |
如果存在,原始日志中的 Src-MAC 值会映射到 UDM 字段 principal.mac。 |
SSID |
read_only_udm.target.resource.name(当资源类型为 SSID 时) |
当 target.resource.type 为 SSID 时,原始日志中的 SSID 值将用作资源名称。 |
USER |
read_only_udm.target.user.userid |
如果存在,原始日志中的用户 ID 会映射到 UDM 字段 target.user.userid。 |
USERIP |
read_only_udm.principal.ip,read_only_udm.observer.ip |
如果存在,原始日志中的用户 IP 会映射到 UDM 字段 principal.ip 和 observer.ip。 |
USERMAC |
read_only_udm.principal.mac |
如果存在,原始日志中的用户 MAC 会映射到 UDM 字段 principal.mac。 |
USERNAME |
read_only_udm.principal.user.userid |
如果存在,原始日志中的用户名会映射到 UDM 字段 principal.user.userid。 |
action |
read_only_udm.security_result.action |
原始日志中的操作值(例如permit、deny)会映射到 UDM 字段 security_result.action。 |
apname |
read_only_udm.target.hostname |
如果存在,原始日志中的 AP 名称会映射到 UDM 字段 target.hostname。 |
bssid |
read_only_udm.target.mac |
如果存在,原始日志中的 BSSID 值会映射到 UDM 字段 target.mac。 |
collection_time.seconds |
read_only_udm.metadata.event_timestamp.seconds |
原始日志中收集时间的秒值会映射到 UDM 字段 metadata.event_timestamp.seconds。 |
device_ip |
read_only_udm.intermediary.ip |
原始日志或 logstash 中的设备 IP 地址会映射到 UDM 字段 intermediary.ip。 |
dstip |
read_only_udm.target.ip |
如果存在,原始日志中的目标 IP 会映射到 UDM 字段 target.ip。 |
dstport |
read_only_udm.target.port |
如果存在,原始日志中的目标端口会映射到 UDM 字段 target.port。 |
event_id |
read_only_udm.metadata.product_event_type |
原始日志中的事件 ID 用于在 UDM 中构建前缀为 Event ID: 的 metadata.product_event_type 字段。 |
event_message |
read_only_udm.security_result.summary |
原始日志中的事件消息会映射到 UDM 字段 security_result.summary。 |
log.source.address |
read_only_udm.observer.ip |
日志来源地址会映射到 UDM 字段 observer.ip。 |
log_type |
read_only_udm.metadata.log_type |
原始日志中的日志类型会映射到 UDM 字段 metadata.log_type。 |
logstash.collect.host |
read_only_udm.observer.ip 或 read_only_udm.observer.hostname |
如果 Logstash 收集主机是 IP 地址,则会映射到 observer.ip;如果是主机名,则会映射到 observer.hostname。 |
logstash.ingest.host |
read_only_udm.intermediary.hostname |
Logstash 提取主机会映射到 UDM 字段 intermediary.hostname。 |
logstash.process.host |
read_only_udm.intermediary.hostname |
Logstash 进程主机会映射到 UDM 字段 intermediary.hostname。 |
program |
read_only_udm.target.application |
原始日志中的计划名称会映射到 UDM 字段 target.application。 |
serverip |
read_only_udm.target.ip |
如果存在,原始日志中的服务器 IP 会映射到 UDM 字段 target.ip。 |
servername |
read_only_udm.target.hostname |
如果存在,原始日志中的服务器名称会映射到 UDM 字段 target.hostname。 |
srcip |
read_only_udm.principal.ip |
如果存在,原始日志中的来源 IP 会映射到 UDM 字段 principal.ip。 |
srcport |
read_only_udm.principal.port |
如果存在,原始日志中的源端口会映射到 UDM 字段 principal.port。 |
syslog_host |
read_only_udm.intermediary.hostname |
原始日志中的 syslog 主机会映射到 UDM 字段 intermediary.hostname。 |
timestamp |
read_only_udm.metadata.event_timestamp |
系统会解析原始日志中的时间戳,并将其映射到 UDM 字段 metadata.event_timestamp。 |
userip |
read_only_udm.principal.ip,read_only_udm.observer.ip |
如果存在,原始日志中的用户 IP 会映射到 UDM 字段 principal.ip 和 observer.ip。 |
usermac |
read_only_udm.principal.mac |
如果存在,原始日志中的用户 MAC 会映射到 UDM 字段 principal.mac。 |
username |
read_only_udm.principal.user.userid |
如果存在,原始日志中的用户名会映射到 UDM 字段 principal.user.userid。派生自解析器中的 event_id 和逻辑。由解析器根据事件 ID 和日志消息内容确定。已硬编码为 Wireless。已硬编码为 Aruba。由解析器根据事件 ID 和日志消息内容确定。由解析器根据事件 ID 和日志消息内容确定。使用正则表达式从原始日志消息中提取。由解析器根据事件 ID 和日志消息内容确定。如果 event_type 为 USER_LOGIN 或相关的身份验证事件,系统会添加一个空对象。由解析器根据事件中使用的网络协议(例如TCP、UDP、ICMP、IGMP)。包含根据特定条件从原始日志中提取的其他字段。例如,如果存在 ap_name,系统会将其添加为键值对。如果正文的上下文中存在 BSSID,则设置为 BSSID。如果目标的上下文中存在 SSID,则设置为 SSID。包含从原始日志中提取的相关检测信息的键值对,例如 BSSID 或 SSID。 |
变化
2024-12-27
增强功能:
- 添加了 Grok 模式,以支持新的 syslog 日志模式。
2024-09-04
增强功能:
- 添加了对新 SYSLOG 日志模式的支持。
2024-08-26
增强功能:
- 添加了对处理未解析的 SYSLOG 日志的支持。
- 将
details映射到metadata.description。
2024-06-18
增强功能:
- 添加了对处理未解析的 SYSLOG 日志的支持。
2024-04-18
增强功能:
- 添加了 Grok 模式,用于从
ap_name中提取有效值。 - 将
ap_name映射到additional.fields。
2023-05-25
bug 修复:
- 由于日志格式不同,解析日志失败。
2022-09-15
bug 修复:
- 修改了 Grok 模式,以解析日志,日志的时间戳中可能包含日期字段,并且某些日志中可能不包含键
userip。 - 尽可能将
metadata.event_type从GENERIC_EVENT修改为STATUS_UPDATE。
2022-08-23
增强功能:
- 将客户专用解析器迁移到了默认解析器。
- 将“metadata.event_type”的映射从“GENERIC_EVENT”修改为“USER_RESOURCE_ACCESS”,其中 event_id 为“132053”。
2022-03-30
增强功能:
- 添加了以下新事件 ID:
124003、126037、126038、199801、235008、235009、304119、306602、326091、326098、326271、326272、326273、326274、326275、326276、326277、326278、326284、341004、350008、351008、358000、393000、399815、520013、522274、541004 - 将
metadata.event_type(其中Event Id为126034、126064、127064、132006、132030、132093、132094、132197)从GENERIC_EVENT更改为SCAN_UNCATEGORIZED - 将
Event Id为132207的metadata.event_type从GENERIC_EVENT更改为NETWORK_CONNECTION - 将
Event Id为520002的metadata.event_type从GENERIC_EVENT更改为USER_UNCATEGORIZED - 映射了
intermediary.hostname、intermediary.mac、intermediary.ip、target.application、target.process.pid - 将
logstash.irm_site、logstash.irm_environment、logstash.irm_region映射到additional.fields
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。