Avaya Aura のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Avaya Aura ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず正規表現と「grok」フィルタを使用して、未加工の Avaya Aura syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドを統合データモデル(UDM)にマッピングし、重大度などの値を正規化して、キーワードに基づいてユーザー ログインやユーザー ログアウトなどの特定のイベントタイプを特定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Avaya Aura への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udolog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'AVAYA_AURA' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Avaya Aura で Syslog を構成する
- Avaya Aura コンソールにログインします。
- [EM] > [System Configuration] > [Logging Settings] > [Syslog] に移動します。
- [SYSLOG Delivery of Logs] を有効にします。
- [追加] をクリックします。
- 次の構成の詳細を指定します。
- サーバー アドレス: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのリスニング ポートを入力します。
- [保存] をクリックします。
- [確認] をクリックします。
- Avaya Aura を再起動します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| data{}.@timestamp | metadata.event_timestamp | イベント タイムスタンプは、grok パターンを使用してデータ フィールドから解析され、UDM のメタデータ セクションの event_timestamp フィールドに割り当てられます。 |
| data{}.host | principal.hostname | ホストの値は、grok パターンを使用してデータ フィールドから抽出され、UDM のプリンシパル セクション内のホスト名フィールドに割り当てられます。 |
| data{}.portal | security_result.about.resource.attribute.labels.value | ポータル値は grok パターンを使用してデータ フィールドから抽出され、UDM の security_result の about.resource.attribute.labels セクション内の Portal ラベルの値として割り当てられます。 |
| data{}.prod_log_id | metadata.product_log_id | prod_log_id 値は、grok パターンを使用してデータ フィールドから抽出され、UDM のメタデータ セクションの product_log_id フィールドに割り当てられます。 |
| data{}.sec_cat | security_result.category_details | sec_cat 値は、grok パターンを使用してデータ フィールドから抽出され、UDM の security_result セクション内の category_details フィールドに割り当てられます。 |
| data{}.sec_desc | security_result.description | sec_desc 値は、grok パターンを使用してデータ フィールドから抽出され、UDM の security_result セクション内の説明フィールドに割り当てられます。 |
| data{}.severity | security_result.severity | 重大度の値は、grok パターンを使用してデータ フィールドから抽出されます。重大度が warn、fatal、error(大文字と小文字は区別されません)の場合、UDM の security_result.severity フィールドの HIGH にマッピングされます。それ以外の場合、重大度が info(大文字と小文字を区別しない)の場合は、LOW にマッピングされます。 |
| data{}.summary | security_result.summary | 概要値は、grok パターンを使用してデータ フィールドから抽出され、UDM の security_result セクション内の概要フィールドに割り当てられます。 |
| data{}.user_id | target.user.userid | user_id 値は、grok パターンを使用してデータ フィールドから抽出され、UDM の target.user セクション内の userid フィールドに割り当てられます。 |
| extensions.auth.type | event_name フィールドに log(in|on) または logoff(大文字と小文字は区別されません)が含まれている場合、または summary フィールドに login または logoff(大文字と小文字は区別されません)が含まれていて、user_id フィールドが空でない場合、auth.type フィールドは AUTHTYPE_UNSPECIFIED に設定されます。 |
|
| metadata.description | 説明フィールドには、desc フィールドの値が空でない場合、その値が入力されます。 | |
| metadata.event_type | event_type フィールドは、次のロジックに基づいて決定されます。- event_name フィールドに log(in|on) が含まれているか、summary フィールドに login(大文字と小文字を区別しない)が含まれていて、user_id フィールドが空でない場合、event_type は USER_LOGIN に設定されます。- event_name フィールドに logoff が含まれているか、summary フィールドに logoff が含まれていて(大文字と小文字は区別されません)、user_id フィールドが空でない場合、event_type は USER_LOGOUT に設定されます。- has_principal フィールドが true の場合、event_type は STATUS_UPDATE に設定されます。- それ以外の場合、event_type は GENERIC_EVENT(デフォルト値)のままになります。 |
|
| metadata.log_type | log_type は AVAYA_AURA にハードコードされています。 |
|
| metadata.product_event_type | product_event_type フィールドには、event_name フィールドの値が空でない場合に、その値が入力されます。 | |
| metadata.product_name | product_name は AVAYA AURA にハードコードされています。 |
|
| metadata.vendor_name | vendor_name は AVAYA AURA にハードコードされています。 |
|
| security_result.action | security_result セクション内の action フィールドは、次のロジックに基づいて設定されます。- summary フィールドに fail または failed(大文字と小文字を区別しない)が含まれている場合、action は BLOCK に設定されます。- 概要フィールドに success(大文字と小文字を区別しない)が含まれている場合、アクションは ALLOW に設定されます。 |
|
| security_result.severity_details | severity_details フィールドが空でない場合、severity_details フィールドの値が入力されます。 | |
| timestamp.nanos | metadata.event_timestamp.nanos | タイムスタンプ フィールドの nanos 値は、UDM のメタデータの event_timestamp セクション内の nanos フィールドに直接マッピングされます。 |
| timestamp.seconds | metadata.event_timestamp.seconds | タイムスタンプ フィールドの秒の値は、UDM のメタデータの event_timestamp セクションの秒フィールドに直接マッピングされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。