Esta página se ha traducido con Cloud Translation API.

Recoger registros de controladores y puntos de acceso inalámbricos de Aruba

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo recoger registros de Aruba Wireless Controller y Access Point mediante Bindplane. El analizador procesa los mensajes SYSLOG y extrae los campos relacionados con los detalles del observador, el intermediario y el punto de acceso. Después, asigna estos campos al modelo de datos unificado (UDM), lo que enriquece los datos de eventos con la gravedad de los resultados de seguridad y gestiona varias condiciones de error durante el proceso.

Antes de empezar

Asegúrate de que tienes una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso con privilegios a un controlador inalámbrico de Aruba.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar el controlador inalámbrico y el punto de acceso de Aruba

Inicia sesión en la interfaz web del controlador de Aruba.
Ve al menú de la parte superior y selecciona Configuración > Sistema.
Selecciona Registro para abrir la página de configuración del registro.
En la sección Servidores Syslog, haz clic en + Añadir para añadir un nuevo servidor Syslog.
Aparecerá un nuevo formulario en el que deberá introducir los siguientes datos:
- Nombre: introduce un nombre único para el servidor syslog. Por ejemplo, Google SecOps Syslog.
- Dirección IP: introduce la dirección IP de Bindplane.
- Puerto: introduce el número de puerto de Bindplane (normalmente, 514 para UDP).
- Instalación de registro: selecciona local 6 en el menú (se suele usar en dispositivos de red).
- Nivel de registro: selecciona Informativo para registrar información.
- Formato: seleccione el formato bsd-standard (es el formato syslog predeterminado que usan los controladores de Aruba).
Haz clic en Enviar para guardar la configuración.
Haz clic en Cambios pendientes.
Haz clic en Implementar cambios para aplicar la nueva configuración del servidor syslog.

Nota: Después de implementar los cambios, deberá configurar el nivel de registro de categorías de registros específicas.
Ve a la configuración Nivel de registro y selecciona Informativo en Nivel de registro para cada una de las siguientes categorías:
- Red
- Todo
- Clúster
- DHCP
- GP
- Movilidad
- Volcado de paquetes
- SDN

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	El valor de `Additional Info` del registro sin procesar se asigna al campo `security_result.description` de UDM.
`AP`	`read_only_udm.target.hostname`	Cuando está presente en el registro sin procesar, el valor que aparece después de `AP:` se extrae y se asigna al campo `target.hostname` de UDM.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (cuando el tipo de recurso es BSSID)	El valor BSSID del registro sin procesar se asigna a `target.mac`. También se usa como nombre de recurso cuando `principal.resource.type` es `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	El valor del comando del registro sin procesar se asigna al campo `principal.process.command_line` de UDM.
`Dst-MAC`	`read_only_udm.target.mac`	Cuando está presente, el valor Dst-MAC del registro sin procesar se asigna al campo `target.mac` de UDM.
`SERVER`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` de UDM.
`SERVER-IP`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` de UDM.
`Src-MAC`	`read_only_udm.principal.mac`	Si está presente, el valor Src-MAC del registro sin procesar se asigna al campo `principal.mac` de UDM.
`SSID`	`read_only_udm.target.resource.name` (cuando el tipo de recurso es SSID)	El valor de SSID del registro sin procesar se usa como nombre de recurso cuando `target.resource.type` es `SSID`.
`USER`	`read_only_udm.target.user.userid`	Cuando está presente, el ID de usuario del registro sin procesar se asigna al campo `target.user.userid` de UDM.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` de UDM.
`USERMAC`	`read_only_udm.principal.mac`	Si está presente, la dirección MAC del usuario del registro sin procesar se asigna al campo UDM `principal.mac`.
`USERNAME`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` de UDM.
`action`	`read_only_udm.security_result.action`	Valor de la acción del registro sin procesar (por ejemplo, `permit`, `deny`) se asigna al campo de UDM `security_result.action`.
`apname`	`read_only_udm.target.hostname`	Si está presente, el nombre del punto de acceso del registro sin procesar se asigna al campo `target.hostname` de UDM.
`bssid`	`read_only_udm.target.mac`	Cuando está presente, el valor de BSSID del registro sin procesar se asigna al campo `target.mac` de UDM.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	El valor de los segundos de la hora de recogida del registro sin procesar se asigna al campo `metadata.event_timestamp.seconds` de UDM.
`device_ip`	`read_only_udm.intermediary.ip`	La IP del dispositivo del registro sin procesar o de `logstash` se asigna al campo `intermediary.ip` de UDM.
`dstip`	`read_only_udm.target.ip`	Cuando está presente, la IP de destino del registro sin procesar se asigna al campo `target.ip` de UDM.
`dstport`	`read_only_udm.target.port`	Cuando está presente, el puerto de destino del registro sin procesar se asigna al campo `target.port` de UDM.
`event_id`	`read_only_udm.metadata.product_event_type`	El ID de evento del registro sin procesar se usa para crear el campo `metadata.product_event_type` en los datos de medición unificados, con el prefijo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	El mensaje de evento del registro sin procesar se asigna al campo `security_result.summary` de UDM.
`log.source.address`	`read_only_udm.observer.ip`	La dirección de la fuente de registro se asigna al campo `observer.ip` de UDM.
`log_type`	`read_only_udm.metadata.log_type`	El tipo de registro del registro sin procesar se asigna al campo `metadata.log_type` de UDM.
`logstash.collect.host`	`read_only_udm.observer.ip` o `read_only_udm.observer.hostname`	El host de recogida de Logstash se asigna a `observer.ip` si es una dirección IP o a `observer.hostname` si es un nombre de host.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	El host de ingestión de Logstash se asigna al campo `intermediary.hostname` de UDM.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	El host del proceso de Logstash se asigna al campo `intermediary.hostname` de UDM.
`program`	`read_only_udm.target.application`	El nombre del programa del registro sin procesar se asigna al campo `target.application` de UDM.
`serverip`	`read_only_udm.target.ip`	Cuando está presente, la IP del servidor del registro sin procesar se asigna al campo `target.ip` de UDM.
`servername`	`read_only_udm.target.hostname`	Cuando está presente, el nombre del servidor del registro sin procesar se asigna al campo `target.hostname` de UDM.
`srcip`	`read_only_udm.principal.ip`	Cuando está presente, la IP de origen del registro sin procesar se asigna al campo `principal.ip` de UDM.
`srcport`	`read_only_udm.principal.port`	Si está presente, el puerto de origen del registro sin procesar se asigna al campo `principal.port` de UDM.
`syslog_host`	`read_only_udm.intermediary.hostname`	El host de syslog del registro sin procesar se asigna al campo `intermediary.hostname` de UDM.
`timestamp`	`read_only_udm.metadata.event_timestamp`	La marca de tiempo del registro sin procesar se analiza y se asigna al campo `metadata.event_timestamp` de UDM.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Cuando está presente, la IP del usuario del registro sin procesar se asigna a los campos `principal.ip` y `observer.ip` de UDM.
`usermac`	`read_only_udm.principal.mac`	Si está presente, la dirección MAC del usuario del registro sin procesar se asigna al campo UDM `principal.mac`.
`username`	`read_only_udm.principal.user.userid`	Cuando está presente, el nombre de usuario del registro sin procesar se asigna al campo `principal.user.userid` de UDM. Derivado de la lógica `event_id` y del analizador. Determinado por el analizador en función del ID del evento y del contenido del mensaje de registro. Valor fijo establecido en el código fuente `Wireless`. Valor fijo establecido en el código fuente `Aruba`. Determinado por el analizador en función del ID del evento y del contenido del mensaje de registro. Determinado por el analizador en función del ID del evento y del contenido del mensaje de registro. Se extrae del mensaje de registro sin procesar mediante una expresión regular. Determinado por el analizador en función del ID del evento y del contenido del mensaje de registro. Se añade un objeto vacío cuando event_type es USER_LOGIN o un evento de autenticación relacionado. Determinado por el analizador en función del protocolo de red utilizado en el evento (por ejemplo, TCP, UDP, ICMP e IGMP. Contiene campos adicionales extraídos del registro sin procesar en función de condiciones específicas. Por ejemplo, el `ap_name` se añade como par clave-valor cuando está presente. Se define como `BSSID` cuando hay un BSSID en el contexto de la entidad principal. Se define como `SSID` cuando hay un SSID en el contexto del objetivo. Contiene pares clave-valor de información de detección relevante extraída del registro sin procesar, como BSSID o SSID.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.