Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Avaya Aura

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Avaya Aura in Google Security Operations utilizzando Bindplane. Il parser estrae innanzitutto i campi dai messaggi syslog Avaya Aura non elaborati utilizzando le espressioni regolari e il filtro "grok". Poi, mappa i campi estratti a un modello di dati unificato (UDM), normalizza i valori come la gravità e identifica tipi di eventi specifici come l'accesso o la disconnessione dell'utente in base alle parole chiave.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Accesso privilegiato ad Avaya Aura

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog in Avaya Aura

Accedi alla console Avaya Aura.
Vai a EM > System Configuration (Configurazione di sistema) > Logging Settings (Impostazioni di logging) > Syslog.
Attiva SYSLOG Delivery of Logs.
Fai clic su Aggiungi.
Fornisci i seguenti dettagli di configurazione:
- Indirizzo server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci la porta di ascolto dell'agente Bindplane.
Fai clic su Salva.
Fai clic su Conferma.
Riavvia Avaya Aura.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
data{}.@timestamp	metadata.event_timestamp	Il timestamp dell'evento viene analizzato dal campo dati utilizzando il pattern grok e assegnato al campo event_timestamp nella sezione dei metadati del modello UDM.
data{}.host	principal.hostname	Il valore host viene estratto dal campo dati utilizzando il pattern Grok e assegnato al campo hostname all'interno della sezione principale dell'UDM.
data{}.portal	security_result.about.resource.attribute.labels.value	Il valore del portale viene estratto dal campo dati utilizzando il pattern grok e assegnato come valore dell'etichetta `Portal` nella sezione about.resource.attribute.labels di security_result in UDM.
data{}.prod_log_id	metadata.product_log_id	Il valore prod_log_id viene estratto dal campo dati utilizzando il pattern Grok e assegnato al campo product_log_id nella sezione dei metadati dell'UDM.
data{}.sec_cat	security_result.category_details	Il valore sec_cat viene estratto dal campo dati utilizzando il pattern grok e assegnato al campo category_details all'interno della sezione security_result dell'UDM.
data{}.sec_desc	security_result.description	Il valore sec_desc viene estratto dal campo dati utilizzando il pattern grok e assegnato al campo della descrizione all'interno della sezione security_result dell'UDM.
data{}.severity	security_result.severity	Il valore di gravità viene estratto dal campo dati utilizzando il pattern grok. Se la gravità è `warn`, `fatal` o `error` (senza distinzione tra maiuscole e minuscole), viene mappata a `HIGH` nel campo security_result.severity di UDM. In caso contrario, se la gravità è `info` (senza distinzione tra maiuscole e minuscole), viene mappata a `LOW`.
data{}.summary	security_result.summary	Il valore del riepilogo viene estratto dal campo dati utilizzando il pattern grok e assegnato al campo riepilogo all'interno della sezione security_result dell'UDM.
data{}.user_id	target.user.userid	Il valore user_id viene estratto dal campo dati utilizzando il pattern grok e assegnato al campo userid all'interno della sezione target.user dell'UDM.
	extensions.auth.type	Il campo auth.type è impostato su `AUTHTYPE_UNSPECIFIED` se il campo event_name contiene `log(in\|on)` o `logoff` (senza distinzione tra maiuscole e minuscole) oppure se il campo summary contiene `login` o `logoff` (senza distinzione tra maiuscole e minuscole) e il campo user_id non è vuoto.
	metadata.description	Il campo della descrizione viene compilato con il valore del campo desc se non è vuoto.
	metadata.event_type	Il campo event_type viene determinato in base alla seguente logica: - Se il campo event_name contiene `log(in\|on)` o il campo summary contiene `login` (senza distinzione tra maiuscole e minuscole) e il campo user_id non è vuoto, event_type è impostato su `USER_LOGIN`. - Se il campo event_name contiene `logoff` o il campo summary contiene `logoff` (senza distinzione tra maiuscole e minuscole) e il campo user_id non è vuoto, event_type è impostato su `USER_LOGOUT`. - Se il campo has_principal è `true`, event_type è impostato su `STATUS_UPDATE`. - In caso contrario, event_type rimane `GENERIC_EVENT` (valore predefinito).
	metadata.log_type	log_type è hardcoded su `AVAYA_AURA`.
	metadata.product_event_type	Il campo product_event_type viene compilato con il valore del campo event_name se non è vuoto.
	metadata.product_name	Il valore di product_name è codificato in modo permanente su `AVAYA AURA`.
	metadata.vendor_name	Il valore di vendor_name è hardcoded su `AVAYA AURA`.
	security_result.action	Il campo azione all'interno della sezione security_result è impostato in base alla seguente logica: - Se il campo summary contiene `fail` o `failed` (senza distinzione tra maiuscole e minuscole), l'azione è impostata su `BLOCK`. - Se il campo del riepilogo contiene `success` (senza distinzione tra maiuscole e minuscole), l'azione è impostata su `ALLOW`.
	security_result.severity_details	Il campo severity_details viene compilato con il valore del campo severity_details se non è vuoto.
timestamp.nanos	metadata.event_timestamp.nanos	Il valore nanos del campo timestamp viene mappato direttamente al campo nanos all'interno della sezione event_timestamp dei metadati nell'UDM.
timestamp.seconds	metadata.event_timestamp.seconds	Il valore dei secondi del campo timestamp viene mappato direttamente al campo dei secondi nella sezione event_timestamp dei metadati nell'UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.