Aruba-Switch-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus Aruba-Switch-Syslog-Nachrichten mithilfe von Grok-Mustern und ordnet sie dem UDM-Modell zu. Es verarbeitet verschiedene Felder, darunter Zeitstempel, Hostnamen, Anwendungsnamen, Prozess-IDs, Ereignis-IDs und Beschreibungen, und füllt die entsprechenden UDM-Felder aus. Der Ereignistyp wird basierend auf der Verfügbarkeit von Informationen zum Hauptdarsteller festgelegt.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte für den Aruba-Switch.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

      receivers:
          tcplog:
              # Replace the below port <54525> and IP <0.0.0.0> with your specific values
              listen_address: "0.0.0.0:54525" 
    
      exporters:
          chronicle/chronicle_w_labels:
              compression: gzip
              # Adjust the creds location below according the placement of the credentials file you downloaded
              creds: '{ json file for creds }'
              # Replace <customer_id> below with your actual ID that you copied
              customer_id: <customer_id>
              endpoint: malachiteingestion-pa.googleapis.com
              # You can apply ingestion labels below as preferred
              ingestion_labels:
              log_type: SYSLOG
              namespace: aruba_switch
              raw_log_field: body
      service:
          pipelines:
              logs/source0__chronicle_w_labels-0:
                  receivers:
                      - tcplog
                  exporters:
                      - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

    sudo systemctl restart bindplane
    

Syslog auf dem Aruba-Switch konfigurieren

  1. Stellen Sie über die Console eine Verbindung zum Aruba-Switch her:

      ssh admin@<switch-ip>
    
  2. So stellen Sie über eine Weboberfläche eine Verbindung zum Aruba-Switch her:

    • Rufen Sie die Web-GUI des Aruba-Switches auf.
    • Authentifizieren Sie sich mit den Administratoranmeldedaten des Switches.
  3. Aktivieren Sie Syslog mit der Befehlszeilen-Konfiguration:

    • Rufen Sie den Modus für die globale Konfiguration auf:

      configure terminal
      
    • Geben Sie den externen syslog-Server an:

      logging <bindplane-ip>:<bindplane-port>
      
    • Ersetzen Sie <bindplane-ip> und <bindplane-port> durch die Adresse Ihres Bindplane-Agents.

  4. Optional: Legen Sie den Schweregrad der Protokollierung fest:

      logging severity <level>
    
  5. Optional: Fügen Sie eine benutzerdefinierte Kennung (Tag) für die Protokollquelle hinzu:

      logging facility local5
    
  6. Speichern Sie die Konfiguration:

      write memory
    
  7. Aktivieren Sie Syslog über die Weboberfläche:

    • Melden Sie sich in der Weboberfläche des Aruba-Switches an.
    • Gehen Sie zu System > Protokolle > Syslog.
    • Fügen Sie syslog-Serverparameter hinzu:
    • Geben Sie die Bindplane-IP-Adresse ein.
    • Geben Sie den BindPlane-Port ein.
    • Legen Sie den Schweregrad fest, um die Ausführlichkeit der Protokolle zu steuern.
    • Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
app principal.application Der Wert des Felds app aus dem Rohprotokoll wird direkt principal.application zugewiesen.
description security_result.description Der Wert des Felds description aus dem Rohprotokoll wird direkt security_result.description zugewiesen.
event_id additional.fields.key Der String „event_id“ ist additional.fields.key zugewiesen.
event_id additional.fields.value.string_value Der Wert des Felds event_id aus dem Rohprotokoll wird direkt additional.fields.value.string_value zugewiesen.
host principal.asset.hostname Der Wert des Felds host aus dem Rohprotokoll wird direkt principal.asset.hostname zugewiesen.
host principal.hostname Der Wert des Felds host aus dem Rohprotokoll wird direkt principal.hostname zugewiesen.
pid principal.process.pid Der Wert des Felds pid aus dem Rohprotokoll wird direkt principal.process.pid zugewiesen.
ts metadata.event_timestamp Der Wert des Felds ts aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und metadata.event_timestamp zugewiesen. Der Zeitstempel wird auch für das Feld timestamp der obersten Ebene in der UDM verwendet. metadata.event_type ist auf „STATUS_UPDATE“ festgelegt, weil die Variable principal_mid_present im Parser auf „wahr“ gesetzt ist, wenn das Feld host im Rohprotokoll vorhanden ist. Der String „ARUBA_SWITCH“ wird im Parser metadata.product_name zugewiesen. Der String „ARUBA SWITCH“ wird im Parser metadata.vendor_name zugewiesen. Der Parser versucht, den User-Agent mithilfe von client.userAgent.rawUserAgent aus dem Rohprotokoll zu extrahieren und zu analysieren. Bei Erfolg wird der geparste User-Agent network.http.parsed_user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer. Der Parser versucht, den Roh-User-Agent aus dem Rohprotokoll mithilfe von client.userAgent.rawUserAgent zu extrahieren. Bei Erfolg wird der rohe User-Agent network.http.user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer.

Änderungen

2024-04-18

  • Neu erstellter Parser.