Aruba スイッチのログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、grok パターンを使用して Aruba スイッチの syslog メッセージからフィールドを抽出し、UDM モデルにマッピングします。タイムスタンプ、ホスト名、アプリケーション名、プロセス ID、イベント ID、説明など、さまざまなフィールドを処理し、関連する UDM フィールドに入力します。イベントタイプは、プリンシパル情報の有無に基づいて設定されます。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降または systemd を搭載した Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Aruba スイッチへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

BindPlane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

Aruba スイッチで Syslog を構成する

コンソールから Aruba スイッチに接続します。
```
  ssh admin@<switch-ip>
```
ウェブインターフェースから Aruba スイッチに接続します。
- Aruba スイッチのウェブ GUI に移動します。
- スイッチの管理者認証情報で認証します。
Syslog 構成を使用して Syslog を有効にします。
- グローバル構成モードに入ります。
```
configure terminal
```
- 外部 Syslog サーバーを指定します。
```
logging <bindplane-ip>:<bindplane-port>
```
- <bindplane-ip> と <bindplane-port> は、bindplane エージェントのアドレスに置き換えます。
省略可: ロギングの重大度レベルを設定します。
```
  logging severity <level>
```
注: 重大度は 0（緊急）～7（デバッグ）の範囲で指定できます。
省略可: カスタム ログソースの識別子（タグ）を追加します。
```
  logging facility local5
```
構成を保存します。
```
  write memory
```
ウェブインターフェース構成を使用して Syslog を有効にします。
- Aruba スイッチのウェブインターフェースにログインします。
- [システム] > [ログ] > [Syslog] に移動します。
- Syslog サーバーパラメータを追加します。
- Bindplane IP アドレスを入力します。
- Bindplane ポートを入力します。
- ログの詳細レベルを制御するには、[重大度レベル] を設定します。
- [保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`app`	`principal.application`	未加工ログの `app` フィールドの値は、`principal.application` に直接割り当てられます。
`description`	`security_result.description`	未加工ログの `description` フィールドの値は、`security_result.description` に直接割り当てられます。
`event_id`	`additional.fields.key`	文字列「event_id」が `additional.fields.key` に割り当てられます。
`event_id`	`additional.fields.value.string_value`	未加工ログの `event_id` フィールドの値は、`additional.fields.value.string_value` に直接割り当てられます。
`host`	`principal.asset.hostname`	未加工ログの `host` フィールドの値は、`principal.asset.hostname` に直接割り当てられます。
`host`	`principal.hostname`	未加工ログの `host` フィールドの値は、`principal.hostname` に直接割り当てられます。
`pid`	`principal.process.pid`	未加工ログの `pid` フィールドの値は、`principal.process.pid` に直接割り当てられます。
`ts`	`metadata.event_timestamp`	未加工ログの `ts` フィールドの値はタイムスタンプに変換され、`metadata.event_timestamp` に割り当てられます。このタイムスタンプは、UDM の最上位の `timestamp` フィールドにも使用されます。`metadata.event_type` は「STATUS_UPDATE」に設定されています。これは、`host` フィールドが未加工ログに存在する場合、`principal_mid_present` 変数がパーサーで「true」に設定されるためです。文字列「ARUBA_SWITCH」は、パーサー内の `metadata.product_name` に割り当てられます。文字列「ARUBA SWITCH」は、パーサー内の `metadata.vendor_name` に割り当てられます。パーサーは、`client.userAgent.rawUserAgent` を使用して未加工ログからユーザーエージェントを抽出して解析しようとします。解析が成功すると、解析されたユーザーエージェントが `network.http.parsed_user_agent` に割り当てられます。ただし、提供された未加工ログにはこのフィールドがないため、この UDM フィールドは空になる可能性があります。パーサーは、`client.userAgent.rawUserAgent` を使用して未加工のロギングから未加工のユーザーエージェントを抽出しようとします。成功すると、元のユーザーエージェントが `network.http.user_agent` に割り当てられます。ただし、提供された未加工ログにはこのフィールドがないため、この UDM フィールドは空になる可能性があります。

変更

2024-04-18

パーサーを新しく作成しました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。