Collecter les journaux des commutateurs Aruba

Compatible avec:

Cet analyseur extrait des champs des messages syslog des commutateurs Aruba à l'aide de modèles Grok et les met en correspondance avec le modèle UDM. Il gère divers champs, y compris les codes temporels, les noms d'hôte, les noms d'application, les ID de processus, les ID d'événement et les descriptions, et renseigne les champs UDM pertinents. Le type d'événement est défini en fonction de la présence d'informations sur l'utilisateur principal.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié au commutateur Aruba.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Pour l'installation Linux, exécutez le script suivant:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez à la machine sur laquelle BindPlane est installé.
  2. Modifiez le fichier config.yaml comme suit :

      receivers:
          tcplog:
              # Replace the below port <54525> and IP <0.0.0.0> with your specific values
              listen_address: "0.0.0.0:54525" 
    
      exporters:
          chronicle/chronicle_w_labels:
              compression: gzip
              # Adjust the creds location below according the placement of the credentials file you downloaded
              creds: '{ json file for creds }'
              # Replace <customer_id> below with your actual ID that you copied
              customer_id: <customer_id>
              endpoint: malachiteingestion-pa.googleapis.com
              # You can apply ingestion labels below as preferred
              ingestion_labels:
              log_type: SYSLOG
              namespace: aruba_switch
              raw_log_field: body
      service:
          pipelines:
              logs/source0__chronicle_w_labels-0:
                  receivers:
                      - tcplog
                  exporters:
                      - chronicle/chronicle_w_labels
    
  3. Redémarrez l'agent BindPlane pour appliquer les modifications:

    sudo systemctl restart bindplane
    

Configurer Syslog sur le commutateur Aruba

  1. Connectez-vous au commutateur Aruba via la console:

      ssh admin@<switch-ip>
    
  2. Connectez-vous au commutateur Aruba via une interface Web:

    • Accédez à l'IUG Web du commutateur Aruba.
    • Authentifiez-vous avec les identifiants d'administrateur du commutateur.
  3. Activez Syslog à l'aide de la configuration de la CLI:

    • Accédez au mode de configuration globale:

      configure terminal
      
    • Spécifiez le serveur syslog externe:

      logging <bindplane-ip>:<bindplane-port>
      
    • Remplacez <bindplane-ip> et <bindplane-port> par l'adresse de votre agent bindplane.

  4. Facultatif: Définissez le niveau de gravité de la journalisation:

      logging severity <level>
    
  5. Facultatif: Ajoutez un identifiant (balise) de source de journaux personnalisé :

      logging facility local5
    
  6. Enregistrez la configuration:

      write memory
    
  7. Activez Syslog à l'aide de la configuration de l'interface Web:

    • Connectez-vous à l'interface Web du commutateur Aruba.
    • Accédez à System > Logs > Syslog (Système > Journaux > Syslog).
    • Ajoutez les paramètres du serveur Syslog:
    • Saisissez l'adresse IP de Bindplane.
    • Saisissez le port Bindplane.
    • Définissez le niveau de gravité pour contrôler la verbosité des journaux.
    • Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
app principal.application La valeur du champ app du journal brut est directement attribuée à principal.application.
description security_result.description La valeur du champ description du journal brut est directement attribuée à security_result.description.
event_id additional.fields.key La chaîne "event_id" est attribuée à additional.fields.key.
event_id additional.fields.value.string_value La valeur du champ event_id du journal brut est directement attribuée à additional.fields.value.string_value.
host principal.asset.hostname La valeur du champ host du journal brut est directement attribuée à principal.asset.hostname.
host principal.hostname La valeur du champ host du journal brut est directement attribuée à principal.hostname.
pid principal.process.pid La valeur du champ pid du journal brut est directement attribuée à principal.process.pid.
ts metadata.event_timestamp La valeur du champ ts du journal brut est convertie en code temporel et attribuée à metadata.event_timestamp. Le code temporel est également utilisé pour le champ timestamp de premier niveau dans l'UDM. metadata.event_type est défini sur "STATUS_UPDATE", car la variable principal_mid_present est définie sur "true" dans l'analyseur lorsque le champ host est présent dans le journal brut. La chaîne "ARUBA_SWITCH" est attribuée à metadata.product_name dans l'analyseur. La chaîne "ARUBA SWITCH" est attribuée à metadata.vendor_name dans l'analyseur. L'analyseur tente d'extraire et d'analyser l'agent utilisateur à partir du journal brut à l'aide de client.userAgent.rawUserAgent. Si l'opération réussit, l'agent utilisateur analysé est attribué à network.http.parsed_user_agent. Toutefois, comme les journaux bruts fournis ne contiennent pas ce champ, il est probable qu'il soit vide. L'analyseur tente d'extraire l'agent utilisateur brut du journal brut à l'aide de client.userAgent.rawUserAgent. Si l'opération réussit, l'agent utilisateur brut est attribué à network.http.user_agent. Toutefois, comme les journaux bruts fournis ne contiennent pas ce champ, il est probable qu'il soit vide.

Modifications

2024-04-18

  • Analyseur nouvellement créé.