Diese Seite wurde von der Cloud Translation API übersetzt.

Aruba-Switch-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Felder aus Aruba-Switch-Syslog-Nachrichten mithilfe von Grok-Mustern und ordnet sie dem UDM-Modell zu. Es verarbeitet verschiedene Felder, darunter Zeitstempel, Hostnamen, Anwendungsnamen, Prozess-IDs, Ereignis-IDs und Beschreibungen, und füllt die entsprechenden UDM-Felder aus. Der Ereignistyp wird basierend auf der Verfügbarkeit von Informationen zum Hauptdarsteller festgelegt.

Hinweis

Sie benötigen eine Google Security Operations-Instanz.
Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für den Aruba-Switch.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profile.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
```
sudo systemctl restart bindplane
```

Syslog auf dem Aruba-Switch konfigurieren

Stellen Sie über die Console eine Verbindung zum Aruba-Switch her:
```
  ssh admin@<switch-ip>
```
So stellen Sie über eine Weboberfläche eine Verbindung zum Aruba-Switch her:
- Rufen Sie die Web-GUI des Aruba-Switches auf.
- Authentifizieren Sie sich mit den Administratoranmeldedaten des Switches.
Aktivieren Sie Syslog mit der Befehlszeilen-Konfiguration:
- Rufen Sie den Modus für die globale Konfiguration auf:
```
configure terminal
```
- Geben Sie den externen syslog-Server an:
```
logging <bindplane-ip>:<bindplane-port>
```
- Ersetzen Sie <bindplane-ip> und <bindplane-port> durch die Adresse Ihres Bindplane-Agents.
Optional: Legen Sie den Schweregrad der Protokollierung fest:
```
  logging severity <level>
```
Hinweis :Die Schweregrade reichen von 0 (Notfall) bis 7 (Fehlerbehebung).
Optional: Fügen Sie eine benutzerdefinierte Kennung (Tag) für die Protokollquelle hinzu:
```
  logging facility local5
```
Speichern Sie die Konfiguration:
```
  write memory
```
Aktivieren Sie Syslog über die Weboberfläche:
- Melden Sie sich in der Weboberfläche des Aruba-Switches an.
- Gehen Sie zu System > Protokolle > Syslog.
- Fügen Sie syslog-Serverparameter hinzu:
- Geben Sie die Bindplane-IP-Adresse ein.
- Geben Sie den BindPlane-Port ein.
- Legen Sie den Schweregrad fest, um die Ausführlichkeit der Protokolle zu steuern.
- Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`app`	`principal.application`	Der Wert des Felds `app` aus dem Rohprotokoll wird direkt `principal.application` zugewiesen.
`description`	`security_result.description`	Der Wert des Felds `description` aus dem Rohprotokoll wird direkt `security_result.description` zugewiesen.
`event_id`	`additional.fields.key`	Der String „event_id“ ist `additional.fields.key` zugewiesen.
`event_id`	`additional.fields.value.string_value`	Der Wert des Felds `event_id` aus dem Rohprotokoll wird direkt `additional.fields.value.string_value` zugewiesen.
`host`	`principal.asset.hostname`	Der Wert des Felds `host` aus dem Rohprotokoll wird direkt `principal.asset.hostname` zugewiesen.
`host`	`principal.hostname`	Der Wert des Felds `host` aus dem Rohprotokoll wird direkt `principal.hostname` zugewiesen.
`pid`	`principal.process.pid`	Der Wert des Felds `pid` aus dem Rohprotokoll wird direkt `principal.process.pid` zugewiesen.
`ts`	`metadata.event_timestamp`	Der Wert des Felds `ts` aus dem Rohprotokoll wird in einen Zeitstempel konvertiert und `metadata.event_timestamp` zugewiesen. Der Zeitstempel wird auch für das Feld `timestamp` der obersten Ebene in der UDM verwendet. `metadata.event_type` ist auf „STATUS_UPDATE“ festgelegt, weil die Variable `principal_mid_present` im Parser auf „wahr“ gesetzt ist, wenn das Feld `host` im Rohprotokoll vorhanden ist. Der String „ARUBA_SWITCH“ wird im Parser `metadata.product_name` zugewiesen. Der String „ARUBA SWITCH“ wird im Parser `metadata.vendor_name` zugewiesen. Der Parser versucht, den User-Agent mithilfe von `client.userAgent.rawUserAgent` aus dem Rohprotokoll zu extrahieren und zu analysieren. Bei Erfolg wird der geparste User-Agent `network.http.parsed_user_agent` zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer. Der Parser versucht, den Roh-User-Agent aus dem Rohprotokoll mithilfe von `client.userAgent.rawUserAgent` zu extrahieren. Bei Erfolg wird der rohe User-Agent `network.http.user_agent` zugewiesen. Da die bereitgestellten Rohlogs dieses Feld jedoch nicht enthalten, ist dieses UDM-Feld wahrscheinlich leer.

Änderungen

2024-04-18

Neu erstellter Parser.