Aruba-Switch-Protokolle erfassen
Dieser Parser extrahiert Felder aus Aruba-Switch-Syslog-Nachrichten mithilfe von Grok-Mustern und ordnet sie dem UDM-Modell zu. Es verarbeitet verschiedene Felder, darunter Zeitstempel, Hostnamen, Anwendungsnamen, Prozess-IDs, Ereignis-IDs und Beschreibungen, und füllt die entsprechenden UDM-Felder aus. Der Ereignistyp wird basierend auf der Verfügbarkeit von Informationen zum Hauptdarsteller festgelegt.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte für den Aruba-Switch.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yaml
so:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: aruba_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog auf dem Aruba-Switch konfigurieren
Stellen Sie über die Console eine Verbindung zum Aruba-Switch her:
ssh admin@<switch-ip>
So stellen Sie über eine Weboberfläche eine Verbindung zum Aruba-Switch her:
- Rufen Sie die Web-GUI des Aruba-Switches auf.
- Authentifizieren Sie sich mit den Administratoranmeldedaten des Switches.
Aktivieren Sie Syslog mit der Befehlszeilen-Konfiguration:
Rufen Sie den Modus für die globale Konfiguration auf:
configure terminal
Geben Sie den externen syslog-Server an:
logging <bindplane-ip>:<bindplane-port>
Ersetzen Sie
<bindplane-ip>
und<bindplane-port>
durch die Adresse Ihres Bindplane-Agents.
Optional: Legen Sie den Schweregrad der Protokollierung fest:
logging severity <level>
Optional: Fügen Sie eine benutzerdefinierte Kennung (Tag) für die Protokollquelle hinzu:
logging facility local5
Speichern Sie die Konfiguration:
write memory
Aktivieren Sie Syslog über die Weboberfläche:
- Melden Sie sich in der Weboberfläche des Aruba-Switches an.
- Gehen Sie zu System > Protokolle > Syslog.
- Fügen Sie syslog-Serverparameter hinzu:
- Geben Sie die Bindplane-IP-Adresse ein.
- Geben Sie den BindPlane-Port ein.
- Legen Sie den Schweregrad fest, um die Ausführlichkeit der Protokolle zu steuern.
- Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
app |
principal.application |
Der Wert des Felds app aus dem Rohprotokoll wird direkt principal.application zugewiesen. |
description |
security_result.description |
Der Wert des Felds description aus dem Rohprotokoll wird direkt security_result.description zugewiesen. |
event_id |
additional.fields.key |
Der String „event_id“ ist additional.fields.key zugewiesen. |
event_id |
additional.fields.value.string_value |
Der Wert des Felds event_id aus dem Rohprotokoll wird direkt additional.fields.value.string_value zugewiesen. |
host |
principal.asset.hostname |
Der Wert des Felds host aus dem Rohprotokoll wird direkt principal.asset.hostname zugewiesen. |
host |
principal.hostname |
Der Wert des Felds host aus dem Rohprotokoll wird direkt principal.hostname zugewiesen. |
pid |
principal.process.pid |
Der Wert des Felds pid aus dem Rohprotokoll wird direkt principal.process.pid zugewiesen. |
ts |
metadata.event_timestamp |
Der Wert des Felds ts aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und metadata.event_timestamp zugewiesen. Der Zeitstempel wird auch für das Feld timestamp der obersten Ebene in der UDM verwendet. metadata.event_type ist auf „STATUS_UPDATE“ festgelegt, weil die Variable principal_mid_present im Parser auf „wahr“ gesetzt ist, wenn das Feld host im Rohprotokoll vorhanden ist. Der String „ARUBA_SWITCH“ wird im Parser metadata.product_name zugewiesen. Der String „ARUBA SWITCH“ wird im Parser metadata.vendor_name zugewiesen. Der Parser versucht, den User-Agent mithilfe von client.userAgent.rawUserAgent aus dem Rohprotokoll zu extrahieren und zu analysieren. Bei Erfolg wird der geparste User-Agent network.http.parsed_user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer. Der Parser versucht, den Roh-User-Agent aus dem Rohprotokoll mithilfe von client.userAgent.rawUserAgent zu extrahieren. Bei Erfolg wird der rohe User-Agent network.http.user_agent zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer. |
Änderungen
2024-04-18
- Neu erstellter Parser.