Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux des commutateurs Aruba

Compatible avec:

Google SecOps SIEM

Cet analyseur extrait des champs des messages syslog des commutateurs Aruba à l'aide de modèles Grok et les met en correspondance avec le modèle UDM. Il gère divers champs, y compris les codes temporels, les noms d'hôte, les noms d'application, les ID de processus, les ID d'événement et les descriptions, et renseigne les champs UDM pertinents. Le type d'événement est défini en fonction de la présence d'informations sur l'utilisateur principal.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié au commutateur Aruba.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Pour l'installation Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez à la machine sur laquelle BindPlane est installé.

Modifiez le fichier config.yaml comme suit :

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Redémarrez l'agent BindPlane pour appliquer les modifications:
```
sudo systemctl restart bindplane
```

Configurer Syslog sur le commutateur Aruba

Connectez-vous au commutateur Aruba via la console:
```
  ssh admin@<switch-ip>
```
Connectez-vous au commutateur Aruba via une interface Web:
- Accédez à l'IUG Web du commutateur Aruba.
- Authentifiez-vous avec les identifiants d'administrateur du commutateur.
Activez Syslog à l'aide de la configuration de la CLI:
- Accédez au mode de configuration globale:
```
configure terminal
```
- Spécifiez le serveur syslog externe:
```
logging <bindplane-ip>:<bindplane-port>
```
- Remplacez <bindplane-ip> et <bindplane-port> par l'adresse de votre agent bindplane.
Facultatif: Définissez le niveau de gravité de la journalisation:
```
  logging severity <level>
```
Remarque :Les niveaux de gravité vont de 0 (urgence) à 7 (débogage).
Facultatif: Ajoutez un identifiant (balise) de source de journaux personnalisé :
```
  logging facility local5
```
Enregistrez la configuration:
```
  write memory
```
Activez Syslog à l'aide de la configuration de l'interface Web:
- Connectez-vous à l'interface Web du commutateur Aruba.
- Accédez à System > Logs > Syslog (Système > Journaux > Syslog).
- Ajoutez les paramètres du serveur Syslog:
- Saisissez l'adresse IP de Bindplane.
- Saisissez le port Bindplane.
- Définissez le niveau de gravité pour contrôler la verbosité des journaux.
- Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`app`	`principal.application`	La valeur du champ `app` du journal brut est directement attribuée à `principal.application`.
`description`	`security_result.description`	La valeur du champ `description` du journal brut est directement attribuée à `security_result.description`.
`event_id`	`additional.fields.key`	La chaîne "event_id" est attribuée à `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	La valeur du champ `event_id` du journal brut est directement attribuée à `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	La valeur du champ `host` du journal brut est directement attribuée à `principal.asset.hostname`.
`host`	`principal.hostname`	La valeur du champ `host` du journal brut est directement attribuée à `principal.hostname`.
`pid`	`principal.process.pid`	La valeur du champ `pid` du journal brut est directement attribuée à `principal.process.pid`.
`ts`	`metadata.event_timestamp`	La valeur du champ `ts` du journal brut est convertie en code temporel et attribuée à `metadata.event_timestamp`. Le code temporel est également utilisé pour le champ `timestamp` de premier niveau dans l'UDM. `metadata.event_type` est défini sur "STATUS_UPDATE", car la variable `principal_mid_present` est définie sur "true" dans l'analyseur lorsque le champ `host` est présent dans le journal brut. La chaîne "ARUBA_SWITCH" est attribuée à `metadata.product_name` dans l'analyseur. La chaîne "ARUBA SWITCH" est attribuée à `metadata.vendor_name` dans l'analyseur. L'analyseur tente d'extraire et d'analyser l'agent utilisateur à partir du journal brut à l'aide de `client.userAgent.rawUserAgent`. Si l'opération réussit, l'agent utilisateur analysé est attribué à `network.http.parsed_user_agent`. Toutefois, comme les journaux bruts fournis ne contiennent pas ce champ, il est probable qu'il soit vide. L'analyseur tente d'extraire l'agent utilisateur brut du journal brut à l'aide de `client.userAgent.rawUserAgent`. Si l'opération réussit, l'agent utilisateur brut est attribué à `network.http.user_agent`. Toutefois, comme les journaux bruts fournis ne contiennent pas ce champ, il est probable qu'il soit vide.

Modifications

2024-04-18

Analyseur nouvellement créé.