Esta página foi traduzida pela API Cloud Translation.

Coletar registros da SD-WAN Aruba EdgeConnect

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros de SD-WAN do Aruba EdgeConnect no Google Security Operations usando o Bindplane. O analisador extrai campos de mensagens syslog, processando formatos de chave-valor e não estruturados. Em seguida, ele mapeia esses campos extraídos para o modelo de dados unificado (UDM, na sigla em inglês), enriquecendo os dados com detalhes de conexão de rede e resultados de segurança, além de categorizar eventos com base nas informações disponíveis.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Aruba Central ou ao SD-WAN Orchestrator, ou a ambos

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARUBA_EDGECONNECT_SDWAN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Aruba Central

Faça login na UI da Web do Aruba Central.
Acesse Gerenciar > Dispositivos > Gateways.
Selecione um gateway em Nome do dispositivo. O contexto do painel para o dispositivo de gateway é exibido.
Em Gerenciar, clique em Dispositivo. A página de configuração do gateway é exibida.
Clique em Sistema > Registro.
Clique em + na seção Servidores Syslog.
Informe os seguintes detalhes de configuração:
- Endereço IP: insira o endereço IP do agente do Bindplane.
- Categoria: selecione segurança. Você pode repetir o processo depois para adicionar outras categorias.
- Recurso de registro: selecione Local0.
- Nível de geração de registros: selecione Informativo.
- Formato: selecione cef.
Clique em Save Settings.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`Action`	`security_result.action_details`	Mapeado diretamente do campo `Action`.
`Application`	`network.application_protocol`	Se o campo `Application` contiver "dhcp" (sem diferenciação de maiúsculas e minúsculas), o valor será definido como "DHCP".
`Application`	`intermediary.application`	Mapeado diretamente do campo `Application`.
`Direction`	`network.direction`	Mapeado diretamente do campo `Direction` e convertido para maiúsculas. Se o valor não for "INBOUND", "OUTBOUND" ou "BROADCAST", ele será definido como "UNKNOWN_DIRECTION".
`DstAddr`	`target.ip`	Mapeado diretamente do campo `DstAddr`.
`DstPort`	`target.port`	Mapeado diretamente do campo `DstPort` e convertido em um número inteiro.
`Flow-ID`	`metadata.id`	Mapeado diretamente do campo `Flow-ID`.
`FromZone`	`target.resource.attribute.labels`	Cria um marcador com a chave "FromZone" e o valor do campo `FromZone`.
`Host`	`intermediary.hostname`	Mapeado diretamente do campo `Host`.
`Protocol`	`network.ip_protocol`	Mapeado diretamente do campo `Protocol`, convertido para maiúsculas e analisado usando um arquivo de inclusão (`parse_ip_protocol.include`) para receber o nome do protocolo.
`Reason`	`security_result.category_details`	Mapeado diretamente do campo `Reason`.
`Reason`	`security_result.category`	Se o campo `Reason` contiver "policy deny", o valor será definido como "POLICY_VIOLATION".
`SrcAddr`	`principal.ip`	Mapeado diretamente do campo `SrcAddr`.
`SrcPort`	`principal.port`	Mapeado diretamente do campo `SrcPort` e convertido em um número inteiro.
`Tag`	`security_result.rule_name`	Mapeado diretamente do campo `Tag`.
`ToZone`	`target.resource.attribute.labels`	Cria um marcador com a chave "ToZone" e o valor do campo `ToZone`.
`description`	`metadata.description`	Mapeado diretamente do campo `description`, que é extraído da mensagem de registro quando o campo `kv_data` está vazio.
`intermediary_pid`	`intermediary.process.pid`	Mapeado diretamente do campo `intermediary_pid`.
`timestamp`	`metadata.event_timestamp`	Mapeado diretamente do campo `timestamp` extraído da mensagem de registro. Definido como "NETWORK_CONNECTION" se `SrcAddr` e `DstAddr` estiverem presentes. Caso contrário, definido como "GENERIC_EVENT". Codificado como "ARUBA_EDGECONNECT_SDWAN". Codificado como "ARUBA_EDGECONNECT_SDWAN".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.