收集 Aruba EdgeConnect SD-WAN 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Aruba EdgeConnect SD-WAN 日志注入到 Google Security Operations。解析器从 syslog 消息中提取字段,同时处理键值格式和非结构化格式。然后,它会将这些提取的字段映射到统一数据模型 (UDM),通过网络连接详情和安全结果来丰富数据,同时根据可用信息对事件进行分类。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Aruba Central 或 SD-WAN Orchestrator 或两者的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ARUBA_EDGECONNECT_SDWAN' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Aruba Central 中配置 Syslog
- 登录 Aruba Central Web 界面。
- 依次前往管理 > 设备 > 网关。
- 在设备名称下选择一个网关。系统会显示网关设备的信息中心上下文。
- 在管理中,点击设备。系统会显示网关配置页面。
- 依次点击系统 > 日志记录。
- 点击 Syslog 服务器部分中的 +。
- 提供以下配置详细信息:
- IP 地址:输入 Bindplane 代理 IP 地址。
- 类别:选择安全(您可以稍后重复此流程来添加其他类别)。
- 日志记录设施:选择 Local0。
- 日志记录级别:选择信息。
- 格式:选择 cef。
- 点击 Save Settings(保存设置)。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Action |
security_result.action_details |
直接从 Action 字段映射。 |
Application |
network.application_protocol |
如果 Application 字段包含“dhcp”(不区分大小写),则该值设置为“DHCP”。 |
Application |
intermediary.application |
直接从 Application 字段映射。 |
Direction |
network.direction |
直接从 Direction 字段映射,并转换为大写。如果该值不是“INBOUND”“OUTBOUND”或“BROADCAST”,则将其设置为“UNKNOWN_DIRECTION”。 |
DstAddr |
target.ip |
直接从 DstAddr 字段映射。 |
DstPort |
target.port |
直接从 DstPort 字段映射,并转换为整数。 |
Flow-ID |
metadata.id |
直接从 Flow-ID 字段映射。 |
FromZone |
target.resource.attribute.labels |
创建一个键为“FromZone”且值来自 FromZone 字段的标签。 |
Host |
intermediary.hostname |
直接从 Host 字段映射。 |
Protocol |
network.ip_protocol |
直接从 Protocol 字段映射,转换为大写,然后使用包含文件 (parse_ip_protocol.include) 进行解析以获取协议名称。 |
Reason |
security_result.category_details |
直接从 Reason 字段映射。 |
Reason |
security_result.category |
如果 Reason 字段包含“policy deny”,则该值设置为“POLICY_VIOLATION”。 |
SrcAddr |
principal.ip |
直接从 SrcAddr 字段映射。 |
SrcPort |
principal.port |
直接从 SrcPort 字段映射,并转换为整数。 |
Tag |
security_result.rule_name |
直接从 Tag 字段映射。 |
ToZone |
target.resource.attribute.labels |
创建一个标签,其键为“ToZone”,值为 ToZone 字段中的值。 |
description |
metadata.description |
直接从 description 字段映射,当 kv_data 字段为空时,该字段会从日志消息中提取。 |
intermediary_pid |
intermediary.process.pid |
直接从 intermediary_pid 字段映射。 |
timestamp |
metadata.event_timestamp |
直接从日志消息中提取的 timestamp 字段映射而来。如果 SrcAddr 和 DstAddr 都存在,则设置为“NETWORK_CONNECTION”,否则设置为“GENERIC_EVENT”。硬编码为“ARUBA_EDGECONNECT_SDWAN”。硬编码为“ARUBA_EDGECONNECT_SDWAN”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。