Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Avaya Aura

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Avaya Aura ke Google Security Operations menggunakan Bindplane. Parser pertama-tama mengekstrak kolom dari pesan syslog Avaya Aura mentah menggunakan ekspresi reguler dan filter "grok". Kemudian, kolom yang diekstrak dipetakan ke Model Data Terpadu (UDM), menormalisasi nilai seperti tingkat keparahan, dan mengidentifikasi jenis peristiwa tertentu seperti login pengguna atau logout pengguna berdasarkan kata kunci.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Avaya Aura

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Avaya Aura

Login ke konsol Avaya Aura.
Buka EM > System Configuration > Logging Settings > Syslog.
Aktifkan Pengiriman Log SYSLOG.
Klik Tambahkan.
Berikan detail konfigurasi berikut:
- Alamat Server: Masukkan Alamat IP agen Bindplane.
- Port: Masukkan port pendengar agen BindPlane.
Klik Simpan.
Klik Konfirmasi.
Mulai ulang Avaya Aura.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
data{}.@timestamp	metadata.event_timestamp	Stempel waktu peristiwa diuraikan dari kolom data menggunakan pola grok dan ditetapkan ke kolom event_timestamp di bagian metadata UDM.
data{}.host	principal.hostname	Nilai host diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom nama host dalam bagian principal UDM.
data{}.portal	security_result.about.resource.attribute.labels.value	Nilai portal diekstrak dari kolom data menggunakan pola grok dan ditetapkan sebagai nilai label `Portal` dalam bagian about.resource.attribute.labels dari security_result di UDM.
data{}.prod_log_id	metadata.product_log_id	Nilai prod_log_id diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom product_log_id di bagian metadata UDM.
data{}.sec_cat	security_result.category_details	Nilai sec_cat diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom category_details dalam bagian security_result UDM.
data{}.sec_desc	security_result.description	Nilai sec_desc diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom description dalam bagian security_result UDM.
data{}.severity	security_result.severity	Nilai tingkat keparahan diekstrak dari kolom data menggunakan pola grok. Jika tingkat keparahannya adalah `warn`, `fatal`, atau `error` (tidak peka huruf besar/kecil), tingkat keparahan tersebut dipetakan ke `HIGH` di kolom security_result.severity UDM. Jika tidak, jika tingkat keparahan adalah `info` (tidak peka huruf besar/kecil), maka akan dipetakan ke `LOW`.
data{}.summary	security_result.summary	Nilai ringkasan diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom ringkasan dalam bagian security_result UDM.
data{}.user_id	target.user.userid	Nilai user_id diekstrak dari kolom data menggunakan pola grok dan ditetapkan ke kolom userid dalam bagian target.user UDM.
	extensions.auth.type	Kolom auth.type disetel ke `AUTHTYPE_UNSPECIFIED` jika kolom event_name berisi `log(in\|on)` atau `logoff` (tidak peka huruf besar/kecil), atau jika kolom summary berisi `login` atau `logoff` (tidak peka huruf besar/kecil) dan kolom user_id tidak kosong.
	metadata.description	Kolom deskripsi diisi dengan nilai kolom desc jika tidak kosong.
	metadata.event_type	Kolom event_type ditentukan berdasarkan logika berikut: - Jika kolom event_name berisi `log(in\|on)` atau kolom summary berisi `login` (tidak peka huruf besar/kecil) dan kolom user_id tidak kosong, event_type ditetapkan ke `USER_LOGIN`. - Jika kolom event_name berisi `logoff` atau kolom summary berisi `logoff` (tidak peka huruf besar/kecil) dan kolom user_id tidak kosong, event_type ditetapkan ke `USER_LOGOUT`. - Jika kolom has_principal adalah `true`, event_type ditetapkan ke `STATUS_UPDATE`. - Jika tidak, event_type tetap `GENERIC_EVENT` (nilai default).
	metadata.log_type	log_type di-hardcode menjadi `AVAYA_AURA`.
	metadata.product_event_type	Kolom product_event_type diisi dengan nilai kolom event_name jika tidak kosong.
	metadata.product_name	product_name di-hardcode menjadi `AVAYA AURA`.
	metadata.vendor_name	vendor_name di-hardcode menjadi `AVAYA AURA`.
	security_result.action	Kolom tindakan dalam bagian security_result ditetapkan berdasarkan logika berikut: - Jika kolom summary berisi `fail` atau `failed` (tidak peka huruf besar/kecil), tindakan ditetapkan ke `BLOCK`. - Jika kolom ringkasan berisi `success` (tidak peka huruf besar/kecil), tindakan akan disetel ke `ALLOW`.
	security_result.severity_details	Kolom severity_details diisi dengan nilai kolom severity_details jika tidak kosong.
timestamp.nanos	metadata.event_timestamp.nanos	Nilai nanos dari kolom stempel waktu dipetakan langsung ke kolom nanos dalam bagian event_timestamp metadata di UDM.
timestamp.seconds	metadata.event_timestamp.seconds	Nilai detik dari kolom stempel waktu dipetakan langsung ke kolom detik dalam bagian event_timestamp metadata di UDM.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.