Esta página foi traduzida pela API Cloud Translation.

Recolha registos do ponto de acesso e do controlador sem fios da Aruba

Compatível com:

Google secops SIEM

Este documento explica como recolher registos do ponto de acesso e do controlador sem fios da Aruba através do Bindplane. O analisador processa mensagens SYSLOG, extraindo campos relacionados com detalhes do observador, intermediário e ponto de acesso. Em seguida, mapeia estes campos para o modelo de dados unificado (UDM), enriquecendo os dados de eventos com a gravidade do resultado da segurança e processando várias condições de erro durante o processo.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado a um controlador sem fios Aruba.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARUBA_WIRELESS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o ponto de acesso e o controlador sem fios da Aruba

Inicie sessão na IU da Web do controlador Aruba.
Aceda ao menu superior e selecione Configuração > Sistema.
Selecione Registo para abrir a página de configuração do registo.
Na secção Servidores Syslog, clique em + Adicionar para adicionar um novo servidor Syslog.
Aparece um novo formulário onde tem de introduzir os seguintes detalhes:
- Nome: introduza um nome exclusivo para o servidor syslog; por exemplo, Google SecOps Syslog.
- Endereço IP: introduza o endereço IP do Bindplane.
- Porta: introduza o número da porta do Bindplane (normalmente, 514 para UDP).
- Logging Facility: selecione local 6 no menu (esta opção é usada frequentemente para dispositivos de rede).
- Nível de registo: selecione Informativo para capturar registos de informações.
- Formato: selecione o formato bsd-standard (este é o formato syslog predefinido usado pelos controladores Aruba).
Clique em Enviar para guardar as suas definições.
Clique em Alterações pendentes.
Clique em Implementar alterações para aplicar a nova configuração do servidor syslog.

Nota: depois de implementar as alterações, tem de configurar o nível de registo para categorias específicas de registos.
Aceda às definições de Nível de registo e defina o Nível de registo como Informativo para cada uma das seguintes categorias:
- Rede
- Tudo
- Cluster
- DHCP
- GP
- Mobilidade
- Packet-Dump
- SDN

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`Additional Info`	`read_only_udm.security_result.description`	O valor de `Additional Info` do registo não processado é mapeado para o campo da UDM `security_result.description`.
`AP`	`read_only_udm.target.hostname`	Quando presente no registo não processado, o valor após `AP:` é extraído e mapeado para o campo UDM `target.hostname`.
`BSSID`	`read_only_udm.target.mac`, `read_only_udm.principal.resource.name` (quando o tipo de recurso é BSSID)	O valor BSSID do registo não processado é mapeado para `target.mac`. Também é usado como o nome do recurso quando o `principal.resource.type` é `BSSID`.
`COMMAND`	`read_only_udm.principal.process.command_line`	O valor do comando do registo não processado é mapeado para o campo UDM `principal.process.command_line`.
`Dst-MAC`	`read_only_udm.target.mac`	Quando presente, o valor Dst-MAC do registo não processado é mapeado para o campo UDM `target.mac`.
`SERVER`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registo não processado é mapeado para o campo UDM `target.hostname`.
`SERVER-IP`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registo não processado é mapeado para o campo UDM `target.ip`.
`Src-MAC`	`read_only_udm.principal.mac`	Quando presente, o valor Src-MAC do registo não processado é mapeado para o campo UDM `principal.mac`.
`SSID`	`read_only_udm.target.resource.name` (quando o tipo de recurso é SSID)	O valor do SSID do registo não processado é usado como o nome do recurso quando `target.resource.type` é `SSID`.
`USER`	`read_only_udm.target.user.userid`	Quando presente, o ID do utilizador do registo não processado é mapeado para o campo da UDM `target.user.userid`.
`USERIP`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do utilizador do registo não processado é mapeado para os campos UDM `principal.ip` e `observer.ip`.
`USERMAC`	`read_only_udm.principal.mac`	Quando presente, o MAC do utilizador do registo não processado é mapeado para o campo UDM `principal.mac`.
`USERNAME`	`read_only_udm.principal.user.userid`	Quando presente, o nome de utilizador do registo não processado é mapeado para o campo UDM `principal.user.userid`.
`action`	`read_only_udm.security_result.action`	O valor da ação do registo não processado (por exemplo, `permit`, `deny`) está mapeado para o campo UDM `security_result.action`.
`apname`	`read_only_udm.target.hostname`	Quando presente, o nome do PA do registo não processado é mapeado para o campo UDM `target.hostname`.
`bssid`	`read_only_udm.target.mac`	Quando presente, o valor BSSID do registo não processado é mapeado para o campo UDM `target.mac`.
`collection_time.seconds`	`read_only_udm.metadata.event_timestamp.seconds`	O valor dos segundos da hora de recolha do registo não processado é mapeado para o campo UDM `metadata.event_timestamp.seconds`.
`device_ip`	`read_only_udm.intermediary.ip`	O IP do dispositivo do registo não processado ou de `logstash` é mapeado para o campo UDM `intermediary.ip`.
`dstip`	`read_only_udm.target.ip`	Quando presente, o IP de destino do registo não processado é mapeado para o campo UDM `target.ip`.
`dstport`	`read_only_udm.target.port`	Quando presente, a porta de destino do registo não processado é mapeada para o campo UDM `target.port`.
`event_id`	`read_only_udm.metadata.product_event_type`	O ID do evento do registo não processado é usado para criar o campo `metadata.product_event_type` no UDM, com o prefixo `Event ID:`.
`event_message`	`read_only_udm.security_result.summary`	A mensagem do evento do registo não processado é mapeada para o campo da UDM `security_result.summary`.
`log.source.address`	`read_only_udm.observer.ip`	O endereço de origem do registo está mapeado para o campo UDM `observer.ip`.
`log_type`	`read_only_udm.metadata.log_type`	O tipo de registo do registo não processado é mapeado para o campo UDM `metadata.log_type`.
`logstash.collect.host`	`read_only_udm.observer.ip` ou `read_only_udm.observer.hostname`	O anfitrião de recolha do Logstash é mapeado para `observer.ip` se for um endereço IP ou para `observer.hostname` se for um nome de anfitrião.
`logstash.ingest.host`	`read_only_udm.intermediary.hostname`	O anfitrião de carregamento do Logstash está mapeado para o campo UDM `intermediary.hostname`.
`logstash.process.host`	`read_only_udm.intermediary.hostname`	O anfitrião do processo logstash é mapeado para o campo UDM `intermediary.hostname`.
`program`	`read_only_udm.target.application`	O nome do programa do registo não processado é mapeado para o campo UDM `target.application`.
`serverip`	`read_only_udm.target.ip`	Quando presente, o IP do servidor do registo não processado é mapeado para o campo UDM `target.ip`.
`servername`	`read_only_udm.target.hostname`	Quando presente, o nome do servidor do registo não processado é mapeado para o campo UDM `target.hostname`.
`srcip`	`read_only_udm.principal.ip`	Quando presente, o IP de origem do registo não processado é mapeado para o campo UDM `principal.ip`.
`srcport`	`read_only_udm.principal.port`	Quando presente, a porta de origem do registo não processado é mapeada para o campo UDM `principal.port`.
`syslog_host`	`read_only_udm.intermediary.hostname`	O anfitrião syslog do registo não processado é mapeado para o campo UDM `intermediary.hostname`.
`timestamp`	`read_only_udm.metadata.event_timestamp`	A data/hora do registo não processado é analisada e mapeada para o campo UDM `metadata.event_timestamp`.
`userip`	`read_only_udm.principal.ip`, `read_only_udm.observer.ip`	Quando presente, o IP do utilizador do registo não processado é mapeado para os campos UDM `principal.ip` e `observer.ip`.
`usermac`	`read_only_udm.principal.mac`	Quando presente, o MAC do utilizador do registo não processado é mapeado para o campo UDM `principal.mac`.
`username`	`read_only_udm.principal.user.userid`	Quando presente, o nome de utilizador do registo não processado é mapeado para o campo UDM `principal.user.userid`. Derivada da lógica `event_id` e no analisador. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registo. Codificado para `Wireless`. Codificado para `Aruba`. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registo. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registo. Extraído da mensagem de registo não processada através de regex. Determinado pelo analisador com base no ID do evento e no conteúdo da mensagem de registo. É adicionado um objeto vazio quando o event_type é USER_LOGIN ou um evento de autenticação relacionado. Determinado pelo analisador com base no protocolo de rede usado no evento (por exemplo, TCP, UDP, ICMP e IGMP). Contém campos adicionais extraídos do registo não processado com base em condições específicas. Por exemplo, o `ap_name` é adicionado como um par de chave-valor quando está presente. Definido como `BSSID` quando um BSSID está presente no contexto do principal. Definido como `SSID` quando um SSID está presente no contexto do alvo. Contém pares de chave-valor de informações de deteção relevantes extraídas do registo não processado, como BSSID ou SSID.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.