Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Avaya Aura

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Avaya Aura a Google Security Operations con Bindplane. Primero, el analizador extrae campos de los mensajes syslog sin procesar de Avaya Aura con expresiones regulares y el filtro "grok". Luego, asigna los campos extraídos a un modelo de datos unificado (UDM), normaliza valores como la gravedad y, luego, identifica tipos de eventos específicos, como el acceso o el cierre de sesión del usuario, en función de las palabras clave.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host de Linux con systemd
Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
Acceso privilegiado a Avaya Aura

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en Avaya Aura

Accede a la consola de Avaya Aura.
Ve a EM > Configuración del sistema > Configuración de registro > Syslog.
Habilita SYSLOG Delivery of Logs.
Haz clic en Agregar.
Proporciona los siguientes detalles de configuración:
- Dirección del servidor: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa el puerto de escucha del agente de Bindplane.
Haz clic en Guardar.
Haz clic en Confirmar.
Reinicia Avaya Aura.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
data{}.@timestamp	metadata.event_timestamp	La marca de tiempo del evento se analiza a partir del campo de datos con el patrón grok y se asigna al campo event_timestamp en la sección de metadatos del UDM.
data{}.host	principal.hostname	El valor del host se extrae del campo de datos con el patrón de Grok y se asigna al campo de nombre de host dentro de la sección principal del UDM.
data{}.portal	security_result.about.resource.attribute.labels.value	El valor del portal se extrae del campo de datos con el patrón grok y se asigna como el valor de la etiqueta `Portal` en la sección about.resource.attribute.labels del security_result en el UDM.
data{}.prod_log_id	metadata.product_log_id	El valor de prod_log_id se extrae del campo de datos con el patrón grok y se asigna al campo product_log_id en la sección de metadatos del UDM.
data{}.sec_cat	security_result.category_details	El valor de sec_cat se extrae del campo de datos con el patrón de Grok y se asigna al campo category_details dentro de la sección security_result del UDM.
data{}.sec_desc	security_result.description	El valor de sec_desc se extrae del campo de datos con el patrón de Grok y se asigna al campo de descripción dentro de la sección security_result del UDM.
data{}.severity	security_result.severity	El valor de gravedad se extrae del campo de datos con el patrón de Grok. Si la gravedad es `warn`, `fatal` o `error` (sin distinción entre mayúsculas y minúsculas), se asigna a `HIGH` en el campo security_result.severity del UDM. De lo contrario, si la gravedad es `info` (sin distinción entre mayúsculas y minúsculas), se asigna a `LOW`.
data{}.summary	security_result.summary	El valor de resumen se extrae del campo de datos con el patrón grok y se asigna al campo de resumen dentro de la sección security_result del UDM.
data{}.user_id	target.user.userid	El valor de user_id se extrae del campo de datos con el patrón grok y se asigna al campo userid dentro de la sección target.user del UDM.
	extensions.auth.type	El campo auth.type se establece en `AUTHTYPE_UNSPECIFIED` si el campo event_name contiene `log(in\|on)` o `logoff` (sin distinguir mayúsculas de minúsculas), o si el campo summary contiene `login` o `logoff` (sin distinguir mayúsculas de minúsculas) y el campo user_id no está vacío.
	metadata.description	El campo de descripción se completa con el valor del campo desc si no está vacío.
	metadata.event_type	El campo event_type se determina según la siguiente lógica: - Si el campo event_name contiene `log(in\|on)` o el campo summary contiene `login` (sin distinción entre mayúsculas y minúsculas) y el campo user_id no está vacío, el campo event_type se establece en `USER_LOGIN`. - Si el campo event_name contiene `logoff` o el campo summary contiene `logoff` (sin distinción entre mayúsculas y minúsculas) y el campo user_id no está vacío, el campo event_type se establece en `USER_LOGOUT`. - Si el campo has_principal es `true`, el campo event_type se establece en `STATUS_UPDATE`. - De lo contrario, event_type permanece como `GENERIC_EVENT` (valor predeterminado).
	metadata.log_type	El parámetro log_type está codificado como `AVAYA_AURA`.
	metadata.product_event_type	El campo product_event_type se propaga con el valor del campo event_name si no está vacío.
	metadata.product_name	El atributo product_name está codificado como `AVAYA AURA`.
	metadata.vendor_name	El valor de vendor_name está codificado como `AVAYA AURA`.
	security_result.action	El campo de acción dentro de la sección security_result se establece según la siguiente lógica: - Si el campo de resumen contiene `fail` o `failed` (sin distinción entre mayúsculas y minúsculas), la acción se establece en `BLOCK`. - Si el campo de resumen contiene `success` (sin distinción entre mayúsculas y minúsculas), la acción se establece en `ALLOW`.
	security_result.severity_details	El campo severity_details se completa con el valor del campo severity_details si no está vacío.
timestamp.nanos	metadata.event_timestamp.nanos	El valor de nanos del campo de marca de tiempo se asigna directamente al campo de nanos dentro de la sección event_timestamp de los metadatos en el UDM.
timestamp.seconds	metadata.event_timestamp.seconds	El valor de segundos del campo de marca de tiempo se asigna directamente al campo de segundos dentro de la sección event_timestamp de los metadatos en el UDM.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.