Esta página foi traduzida pela API Cloud Translation.

Coletar registros do switch Aruba

Compatível com:

Google SecOps SIEM

Esse analisador extrai campos de mensagens syslog de chaveamento da Aruba usando padrões Grok e os mapeia para o modelo UDM. Ele processa vários campos, incluindo carimbos de data/hora, nomes de host, nomes de aplicativos, IDs de processo, IDs de evento e descrições, preenchendo os campos relevantes do UDM. O tipo de evento é definido com base na presença de informações principais.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você tem um Windows 2016 ou mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Garanta acesso privilegiado ao switch Aruba.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

Acesse a máquina em que o BindPlane está instalado.

Edite o arquivo config.yaml da seguinte forma:

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Reinicie o agente do BindPlane para aplicar as mudanças:
```
sudo systemctl restart bindplane
```

Configurar o Syslog no switch Aruba

Conecte-se ao switch Aruba pelo Console:
```
  ssh admin@<switch-ip>
```
Conecte-se ao switch Aruba usando uma interface da Web:
- Acesse a GUI da Web do switch Aruba.
- Faça a autenticação com as credenciais de administrador do switch.
Ative o Syslog usando a configuração da CLI:
- Entrar no modo de configuração global:
```
configure terminal
```
- Especifique o servidor syslog externo:
```
logging <bindplane-ip>:<bindplane-port>
```
- Substitua <bindplane-ip> e <bindplane-port> pelo endereço do agente de bindplane.
Opcional: defina o nível de gravidade da geração de registros:
```
  logging severity <level>
```
Observação: os níveis de gravidade variam de 0 (emergência) a 7 (depuração).
Opcional: adicione um identificador (tag) de origem de registro personalizado:
```
  logging facility local5
```
Salve a configuração:
```
  write memory
```
Ative o Syslog usando a configuração da interface da Web:
- Faça login na interface da Web do switch Aruba.
- Acesse Sistema > Registros > Syslog.
- Adicione os parâmetros do servidor syslog:
- Insira o endereço IP do Bindplane.
- Insira a porta Bindplane.
- Defina o Nível de gravidade para controlar a quantidade de detalhes dos registros.
- Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`app`	`principal.application`	O valor do campo `app` do registro bruto é atribuído diretamente a `principal.application`.
`description`	`security_result.description`	O valor do campo `description` do registro bruto é atribuído diretamente a `security_result.description`.
`event_id`	`additional.fields.key`	A string "event_id" é atribuída a `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	O valor do campo `event_id` do registro bruto é atribuído diretamente a `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	O valor do campo `host` do registro bruto é atribuído diretamente a `principal.asset.hostname`.
`host`	`principal.hostname`	O valor do campo `host` do registro bruto é atribuído diretamente a `principal.hostname`.
`pid`	`principal.process.pid`	O valor do campo `pid` do registro bruto é atribuído diretamente a `principal.process.pid`.
`ts`	`metadata.event_timestamp`	O valor do campo `ts` do registro bruto é convertido em um carimbo de data/hora e atribuído a `metadata.event_timestamp`. O carimbo de data/hora também é usado para o campo `timestamp` de nível superior no UDM. O `metadata.event_type` é definido como "STATUS_UPDATE" porque a variável `principal_mid_present` é definida como "true" no analisador quando o campo `host` está presente no registro bruto. A string "ARUBA_SWITCH" é atribuída a `metadata.product_name` no analisador. A string "ARUBA SWITCH" é atribuída a `metadata.vendor_name` no analisador. O analisador tenta extrair e analisar o agente do usuário do registro bruto usando `client.userAgent.rawUserAgent`. Se for bem-sucedido, o agente do usuário analisado será atribuído a `network.http.parsed_user_agent`. No entanto, como os registros brutos fornecidos não contêm esse campo, ele provavelmente estará vazio. O analisador tenta extrair o agente do usuário bruto do registro bruto usando `client.userAgent.rawUserAgent`. Se for bem-sucedido, o agente do usuário bruto será atribuído a `network.http.user_agent`. No entanto, como os registros brutos fornecidos não contêm esse campo, ele provavelmente estará vazio.

Alterações

2024-04-18

Parser recém-criado.