收集 Avaya Aura 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Avaya Aura 日志注入到 Google Security Operations。解析器首先使用正则表达式和“grok”过滤器从原始 Avaya Aura syslog 消息中提取字段。然后,它会将提取的字段映射到统一数据模型 (UDM),对严重程度等值进行归一化处理,并根据关键字识别用户登录或用户退出等特定事件类型。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Avaya Aura 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udolog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'AVAYA_AURA'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Avaya Aura 中配置 Syslog

  1. 登录 Avaya Aura 控制台。
  2. 依次前往 EM > 系统配置 > 日志记录设置 > Syslog
  3. 启用 SYSLOG 日志传送
  4. 点击添加
  5. 提供以下配置详细信息:
    • 服务器地址:输入 Bindplane 代理 IP 地址。
    • 端口:输入 Bindplane 代理监听端口。
  6. 点击保存
  7. 点击确认
  8. 重启 Avaya Aura。

UDM 映射表

日志字段 UDM 映射 逻辑
data{}.@timestamp metadata.event_timestamp 系统会使用 Grok 模式从数据字段解析事件时间戳,并将其分配给 UDM 元数据部分中的 event_timestamp 字段。
data{}.host principal.hostname 主机值使用 Grok 模式从数据字段中提取,并分配给 UDM 的正文部分中的主机名字段。
data{}.portal security_result.about.resource.attribute.labels.value 系统会使用 Grok 模式从数据字段中提取门户值,并将其分配为 UDM 中 security_result 的 about.resource.attribute.labels 部分内 Portal 标签的值。
data{}.prod_log_id metadata.product_log_id 使用 grok 模式从数据字段中提取 prod_log_id 值,并将其分配给 UDM 元数据部分中的 product_log_id 字段。
data{}.sec_cat security_result.category_details 系统会使用 Grok 模式从数据字段中提取 sec_cat 值,并将其分配给 UDM 的 security_result 部分中的 category_details 字段。
data{}.sec_desc security_result.description 系统会使用 Grok 模式从数据字段中提取 sec_desc 值,并将其分配给 UDM 的 security_result 部分中的说明字段。
data{}.severity security_result.severity 严重程度值使用 Grok 模式从数据字段中提取。如果严重程度为 warnfatalerror(不区分大小写),则会映射到 UDM 的 security_result.severity 字段中的 HIGH。否则,如果严重程度为 info(不区分大小写),则映射到 LOW
data{}.summary security_result.summary 系统会使用 grok 模式从数据字段中提取摘要值,并将其分配给 UDM 的 security_result 部分中的摘要字段。
data{}.user_id target.user.userid 系统会使用 grok 模式从数据字段中提取 user_id 值,并将其分配给 UDM 的 target.user 部分中的 userid 字段。
extensions.auth.type 如果 event_name 字段包含 log(in|on)logoff(不区分大小写),或者 summary 字段包含 loginlogoff(不区分大小写)且 user_id 字段不为空,则 auth.type 字段设置为 AUTHTYPE_UNSPECIFIED
metadata.description 如果说明字段不为空,则会使用 desc 字段的值填充该字段。
metadata.event_type event_type 字段根据以下逻辑确定:- 如果 event_name 字段包含 log(in|on) 或摘要字段包含 login(不区分大小写),且 user_id 字段不为空,则 event_type 设置为 USER_LOGIN。- 如果 event_name 字段包含 logoff 或 summary 字段包含 logoff(不区分大小写),且 user_id 字段不为空,则将 event_type 设置为 USER_LOGOUT。- 如果 has_principal 字段为 true,则 event_type 设置为 STATUS_UPDATE。- 否则,event_type 保持为 GENERIC_EVENT(默认值)。
metadata.log_type log_type 已硬编码为 AVAYA_AURA
metadata.product_event_type 如果 event_name 字段不为空,则 product_event_type 字段会填充 event_name 字段的值。
metadata.product_name product_name 已硬编码为 AVAYA AURA
metadata.vendor_name vendor_name 已硬编码为 AVAYA AURA
security_result.action security_result 部分中的 action 字段根据以下逻辑设置:- 如果 summary 字段包含 failfailed(不区分大小写),则将 action 设置为 BLOCK。- 如果摘要字段包含 success(不区分大小写),则将操作设置为 ALLOW
security_result.severity_details 如果 severity_details 字段不为空,则使用该字段的值填充 severity_details 字段。
timestamp.nanos metadata.event_timestamp.nanos 时间戳字段中的纳秒值直接映射到 UDM 中元数据的 event_timestamp 部分中的纳秒字段。
timestamp.seconds metadata.event_timestamp.seconds 时间戳字段中的秒值直接映射到 UDM 中元数据的 event_timestamp 部分中的秒字段。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。