此页面由 Cloud Translation API 翻译。

收集 Avaya Aura 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Avaya Aura 日志注入到 Google Security Operations。解析器首先使用正则表达式和“grok”过滤器从原始 Avaya Aura syslog 消息中提取字段。然后，它会将提取的字段映射到统一数据模型 (UDM)，对严重程度等值进行归一化处理，并根据关键字识别用户登录或用户退出等特定事件类型。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果在代理后运行，防火墙端口处于开放状态
对 Avaya Aura 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Avaya Aura 中配置 Syslog

登录 Avaya Aura 控制台。
依次前往 EM > 系统配置 > 日志记录设置 > Syslog。
启用 SYSLOG 日志传送。
点击添加。
提供以下配置详细信息：
- 服务器地址：输入 Bindplane 代理 IP 地址。
- 端口：输入 Bindplane 代理监听端口。
点击保存。
点击确认。
重启 Avaya Aura。

UDM 映射表

日志字段	UDM 映射	逻辑
data{}.@timestamp	metadata.event_timestamp	系统会使用 Grok 模式从数据字段解析事件时间戳，并将其分配给 UDM 元数据部分中的 event_timestamp 字段。
data{}.host	principal.hostname	主机值使用 Grok 模式从数据字段中提取，并分配给 UDM 的正文部分中的主机名字段。
data{}.portal	security_result.about.resource.attribute.labels.value	系统会使用 Grok 模式从数据字段中提取门户值，并将其分配为 UDM 中 security_result 的 about.resource.attribute.labels 部分内 `Portal` 标签的值。
data{}.prod_log_id	metadata.product_log_id	使用 grok 模式从数据字段中提取 prod_log_id 值，并将其分配给 UDM 元数据部分中的 product_log_id 字段。
data{}.sec_cat	security_result.category_details	系统会使用 Grok 模式从数据字段中提取 sec_cat 值，并将其分配给 UDM 的 security_result 部分中的 category_details 字段。
data{}.sec_desc	security_result.description	系统会使用 Grok 模式从数据字段中提取 sec_desc 值，并将其分配给 UDM 的 security_result 部分中的说明字段。
data{}.severity	security_result.severity	严重程度值使用 Grok 模式从数据字段中提取。如果严重程度为 `warn`、`fatal` 或 `error`（不区分大小写），则会映射到 UDM 的 security_result.severity 字段中的 `HIGH`。否则，如果严重程度为 `info`（不区分大小写），则映射到 `LOW`。
data{}.summary	security_result.summary	系统会使用 grok 模式从数据字段中提取摘要值，并将其分配给 UDM 的 security_result 部分中的摘要字段。
data{}.user_id	target.user.userid	系统会使用 grok 模式从数据字段中提取 user_id 值，并将其分配给 UDM 的 target.user 部分中的 userid 字段。
	extensions.auth.type	如果 event_name 字段包含 `log(in\|on)` 或 `logoff`（不区分大小写），或者 summary 字段包含 `login` 或 `logoff`（不区分大小写）且 user_id 字段不为空，则 auth.type 字段设置为 `AUTHTYPE_UNSPECIFIED`。
	metadata.description	如果说明字段不为空，则会使用 desc 字段的值填充该字段。
	metadata.event_type	event_type 字段根据以下逻辑确定：- 如果 event_name 字段包含 `log(in\|on)` 或摘要字段包含 `login`（不区分大小写），且 user_id 字段不为空，则 event_type 设置为 `USER_LOGIN`。- 如果 event_name 字段包含 `logoff` 或 summary 字段包含 `logoff`（不区分大小写），且 user_id 字段不为空，则将 event_type 设置为 `USER_LOGOUT`。- 如果 has_principal 字段为 `true`，则 event_type 设置为 `STATUS_UPDATE`。- 否则，event_type 保持为 `GENERIC_EVENT`（默认值）。
	metadata.log_type	log_type 已硬编码为 `AVAYA_AURA`。
	metadata.product_event_type	如果 event_name 字段不为空，则 product_event_type 字段会填充 event_name 字段的值。
	metadata.product_name	product_name 已硬编码为 `AVAYA AURA`。
	metadata.vendor_name	vendor_name 已硬编码为 `AVAYA AURA`。
	security_result.action	security_result 部分中的 action 字段根据以下逻辑设置：- 如果 summary 字段包含 `fail` 或 `failed`（不区分大小写），则将 action 设置为 `BLOCK`。- 如果摘要字段包含 `success`（不区分大小写），则将操作设置为 `ALLOW`。
	security_result.severity_details	如果 severity_details 字段不为空，则使用该字段的值填充 severity_details 字段。
timestamp.nanos	metadata.event_timestamp.nanos	时间戳字段中的纳秒值直接映射到 UDM 中元数据的 event_timestamp 部分中的纳秒字段。
timestamp.seconds	metadata.event_timestamp.seconds	时间戳字段中的秒值直接映射到 UDM 中元数据的 event_timestamp 部分中的秒字段。