Diese Seite wurde von der Cloud Translation API übersetzt.

Avaya Aura-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Avaya Aura-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert zuerst Felder aus Avaya Aura-Syslog-Rohmeldungen mithilfe von regulären Ausdrücken und dem „grok“-Filter. Anschließend werden die extrahierten Felder einem Unified Data Model (UDM) zugeordnet, Werte wie der Schweregrad normalisiert und bestimmte Ereignistypen wie Nutzeranmeldung oder ‑abmeldung anhand von Keywords identifiziert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf Avaya Aura

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Avaya Aura konfigurieren

Melden Sie sich in der Avaya Aura-Konsole an.
Gehen Sie zu EM > System Configuration > Logging Settings > Syslog.
Aktivieren Sie SYSLOG Delivery of Logs (SYSLOG-Übermittlung von Protokollen).
Klicken Sie auf Hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Serveradresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Port: Geben Sie den Listening-Port des Bindplane-Agents ein.
Klicken Sie auf Speichern.
Klicken Sie auf Bestätigen.
Starten Sie Avaya Aura neu.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
data{}.@timestamp	metadata.event_timestamp	Der Ereigniszeitstempel wird aus dem Datenfeld mit dem Grok-Muster geparst und dem Feld „event_timestamp“ im Metadatenbereich des UDM zugewiesen.
data{}.host	principal.hostname	Der Hostwert wird mithilfe des Grok-Musters aus dem Datenfeld extrahiert und dem Feld „hostname“ im Abschnitt „principal“ des UDM zugewiesen.
data{}.portal	security_result.about.resource.attribute.labels.value	Der Portalwert wird mit dem Grok-Muster aus dem Datenfeld extrahiert und als Wert des Labels `Portal` im Abschnitt „about.resource.attribute.labels“ des security_result im UDM zugewiesen.
data{}.prod_log_id	metadata.product_log_id	Der Wert „prod_log_id“ wird mit dem Grok-Muster aus dem Datenfeld extrahiert und dem Feld „product_log_id“ im Metadatenabschnitt des UDM zugewiesen.
data{}.sec_cat	security_result.category_details	Der Wert „sec_cat“ wird mit dem Grok-Muster aus dem Datenfeld extrahiert und dem Feld „category_details“ im Abschnitt „security_result“ der UDM zugewiesen.
data{}.sec_desc	security_result.description	Der Wert „sec_desc“ wird mithilfe des Grok-Musters aus dem Datenfeld extrahiert und dem Feld „description“ im Abschnitt „security_result“ des UDM zugewiesen.
data{}.severity	security_result.severity	Der Schweregrad wird mithilfe des Grok-Musters aus dem Datenfeld extrahiert. Wenn der Schweregrad `warn`, `fatal` oder `error` (Groß-/Kleinschreibung wird nicht beachtet) ist, wird er im Feld „security_result.severity“ des UDM auf `HIGH` abgebildet. Andernfalls wird die Schwere, wenn sie `info` (unabhängig von der Groß-/Kleinschreibung) ist, auf `LOW` abgebildet.
data{}.summary	security_result.summary	Der Zusammenfassungswert wird mithilfe des Grok-Musters aus dem Datenfeld extrahiert und dem Zusammenfassungsfeld im Abschnitt „security_result“ der UDM zugewiesen.
data{}.user_id	target.user.userid	Der Wert „user_id“ wird mithilfe des Grok-Musters aus dem Datenfeld extrahiert und dem Feld „userid“ im Abschnitt „target.user“ des UDM zugewiesen.
	extensions.auth.type	Das Feld „auth.type“ wird auf `AUTHTYPE_UNSPECIFIED` gesetzt, wenn das Feld „event_name“ `log(in\|on)` oder `logoff` (unabhängig von der Groß-/Kleinschreibung) enthält oder wenn das Feld „summary“ `login` oder `logoff` (unabhängig von der Groß-/Kleinschreibung) enthält und das Feld „user_id“ nicht leer ist.
	metadata.description	Das Feld „description“ wird mit dem Wert des Felds „desc“ gefüllt, sofern dieses nicht leer ist.
	metadata.event_type	Das Feld „event_type“ wird anhand der folgenden Logik bestimmt: – Wenn das Feld „event_name“ `log(in\|on)` enthält oder das Feld „summary“ `login` (unabhängig von der Groß-/Kleinschreibung) und das Feld „user_id“ nicht leer ist, wird „event_type“ auf `USER_LOGIN` festgelegt. – Wenn das Feld „event_name“ `logoff` enthält oder das Feld „summary“ `logoff` enthält (Groß-/Kleinschreibung wird nicht beachtet) und das Feld „user_id“ nicht leer ist, wird „event_type“ auf `USER_LOGOUT` festgelegt. – Wenn das Feld „has_principal“ `true` ist, wird „event_type“ auf `STATUS_UPDATE` festgelegt. – Andernfalls bleibt der event_type `GENERIC_EVENT` (Standardwert).
	metadata.log_type	Der log_type ist fest auf `AVAYA_AURA` codiert.
	metadata.product_event_type	Das Feld „product_event_type“ wird mit dem Wert des Felds „event_name“ gefüllt, sofern dieses nicht leer ist.
	metadata.product_name	Der product_name ist fest auf `AVAYA AURA` codiert.
	metadata.vendor_name	Der vendor_name ist hartcodiert auf `AVAYA AURA`.
	security_result.action	Das Feld „action“ im Abschnitt „security_result“ wird basierend auf der folgenden Logik festgelegt: – Wenn das Feld „summary“ `fail` oder `failed` (unabhängig von der Groß-/Kleinschreibung) enthält, wird die Aktion auf `BLOCK` festgelegt. – Wenn das Feld „Zusammenfassung“ `success` (Groß-/Kleinschreibung nicht berücksichtigend) enthält, wird die Aktion auf `ALLOW` gesetzt.
	security_result.severity_details	Das Feld „severity_details“ wird mit dem Wert des Felds „severity_details“ gefüllt, sofern es nicht leer ist.
timestamp.nanos	metadata.event_timestamp.nanos	Der Nanos-Wert aus dem Zeitstempelfeld wird direkt dem Nanos-Feld im Abschnitt „event_timestamp“ der Metadaten im UDM zugeordnet.
timestamp.seconds	metadata.event_timestamp.seconds	Der Sekundenwert aus dem Zeitstempelfeld wird direkt dem Sekundenfeld im Abschnitt „event_timestamp“ der Metadaten im UDM zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten