Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del IPS de Aruba

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de IPS de Aruba a Google Security Operations con Bindplane. El analizador extrae eventos, notificaciones, APs no autorizados y la información de AP de WIDS de los registros con formato JSON. Transforma los datos de registro sin procesar en UDM asignando campos, controlando varios tipos de eventos (acceso y cierre de sesión del usuario, eventos de red, eventos de seguridad) y enriqueciendo los datos con información contextual, como el canal, el SSID, el BSSID y la gravedad. El analizador también realiza la normalización de marcas de tiempo y el manejo de errores para el JSON con formato incorrecto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows 2016 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado a la consola de administración o a la CLI del dispositivo Aruba

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID_HERE
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARUBA_IPS'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <YOUR_CUSTOMER_ID_HERE> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Actualiza el valor de endpoint para que coincida con la región de tu arrendatario.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de Syslog en dispositivos Aruba

Elige el método de configuración según el tipo de dispositivo Aruba:

Opción A: Controladores de Aruba (AOS-8)

En esta opción, se detallan los pasos para configurar el reenvío de Syslog en los controladores de Aruba que ejecutan AOS-8.

Usa WebUI (recomendado para el formato CEF)

Accede a la interfaz web del controlador de Aruba.
En la jerarquía de nodos de Managed Network, ve a Configuration > System > Logging > Syslog Servers.
Para agregar un servidor de registro, haz clic en + en la sección Servidores Syslog.
Proporciona los siguientes detalles de configuración:
- Dirección IP del servidor: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa 514 (o el puerto configurado en BindPlane).
- Protocolo: Selecciona UDP o TCP, según la configuración de tu agente de Bindplane.
Haz clic en Aplicar.
Para seleccionar los tipos de mensajes que deseas registrar, selecciona Niveles de registro.
Selecciona la categoría o subcategoría que se registrará.
Para seleccionar el nivel de gravedad de la categoría o subcategoría, selecciona el nivel en la lista desplegable Nivel de registro.
Selecciona el formato de registro CEF o BSD-standard en la lista desplegable Formato.
- Se recomienda el CEF (formato de evento común) de ArcSight para el registro estructurado.
Haz clic en Enviar.
Haz clic en Cambios pendientes.
En la ventana Pending Changes, selecciona la casilla de verificación y haz clic en Deploy changes.

Opción B: AP de Aruba Instant

En esta sección, se describe el procedimiento para configurar un servidor Syslog en un punto de acceso (AP) Aruba Instant a través de su interfaz de usuario web o interfaz de línea de comandos (CLI).

Cómo usar la IU web

Accede a la interfaz web de Aruba Instant.
En la ventana principal de Instant, haz clic en el vínculo System.
Haz clic en Mostrar opciones avanzadas para verlas.
Haz clic en la pestaña Monitoring.
- Se muestran los detalles de la pestaña Monitoring.
En el campo Servidor Syslog, que se encuentra en la sección Servidores, ingresa la dirección IP del agente de Bindplane.
En la sección Syslog Facility Levels, selecciona los valores requeridos para configurar los niveles de instalaciones de Syslog.
- Syslog Level: Registro detallado sobre los niveles de syslog.
- AP-Debug: Es un registro detallado sobre el dispositivo AP instantáneo.
- Red: Registro sobre el cambio de red, por ejemplo, cuando se agrega un nuevo AP instantáneo a una red.
- Seguridad: Registra información sobre la seguridad de la red, por ejemplo, cuando un cliente se conecta con una contraseña incorrecta.
- System: Registra información sobre la configuración y el estado del sistema.
- Usuario: Registros importantes sobre el cliente.
- User-Debug: Es un registro detallado sobre el cliente.
- Inalámbrico: Registra información sobre la radio.
Haz clic en Aceptar para guardar la configuración.

Usa la CLI

Accede a la CLI de Aruba Instant AP.
Ingresa al modo de configuración:
```
configure terminal
```

Configura el servidor y el nivel de syslog:

syslog-server <BINDPLANE_IP_ADDRESS>
syslog-level warnings

Reemplaza <BINDPLANE_IP_ADDRESS> por la dirección IP del host del agente de Bindplane.
Ajusta el nivel de gravedad según sea necesario.

Opción C: Aruba AOS-S (conmutadores)

Accede a la CLI del conmutador Aruba AOS-S.
Ingresa al modo de configuración:
```
configure
```
Configura el servidor syslog:
```
logging <BINDPLANE_IP_ADDRESS>
logging severity warnings
```
- Reemplaza <BINDPLANE_IP_ADDRESS> por la dirección IP del host del agente de Bindplane.
- Ajusta el nivel de gravedad según sea necesario.
Guarda la configuración:
```
write memory
```

Opción D: Aruba Central (local)

Accede a la interfaz web de Aruba Central.
Ve a System > System Administration > Notifications > Syslog Server.
Haz clic en Agregar o Habilitar.
Proporciona los siguientes detalles de configuración:
- Host: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa 514 (o el puerto configurado en BindPlane).
- Protocolo: Selecciona UDP o TCP, según la configuración de tu agente de Bindplane.
- Instalación: Selecciona Local7 o la opción que corresponda.
- Gravedad: Selecciona el nivel de registro mínimo (por ejemplo, Advertencia o Información).
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`notifications.created_timestamp`	`metadata.event_timestamp.seconds`	El campo de registro sin procesar `notifications.created_timestamp` se convierte en segundos y se asigna. Los nanosegundos se pierden en la conversión.
`notifications.customer_id`	`metadata.product_log_id`	Asignación directa
`notifications.device_id`	`principal.resource.product_object_id`	Asignación directa
`notifications.group_name`	`principal.group.group_display_name`	Asignación directa
`notifications.id`	`metadata.product_log_id`	Asignación directa
`notifications.timestamp`	`metadata.event_timestamp.seconds`	El campo de registro sin procesar `notifications.timestamp` se convierte en segundos y se asigna.
`rogue_aps.acknowledged`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "acknowledged"	Se convirtió en una cadena y se asignó.
`rogue_aps.containment_status`	`metadata.description`	Asignación directa
`rogue_aps.cust_id`	`metadata.product_log_id`	Asignación directa
`rogue_aps.encryption`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "encryption"	Asignación directa
`rogue_aps.first_det_device`	`principal.resource.product_object_id`	Asignación directa
`rogue_aps.first_det_device_name`	`principal.hostname`	Asignación directa
`rogue_aps.first_seen`	`principal.domain.first_seen_time.seconds`	Se analiza como una fecha y se asignan los segundos desde el ciclo de entrenamiento.
`rogue_aps.group_name`	`principal.group.group_display_name`	Asignación directa
`rogue_aps.id`	`principal.mac`	Se asigna y se convierte a minúsculas.
`rogue_aps.labels`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "labels"	Asignación directa
`rogue_aps.last_det_device`	`security_result.about.user.product_object_id`	Asignación directa
`rogue_aps.last_det_device_name`	`target.hostname`	Asignación directa
`rogue_aps.last_seen`	`principal.domain.last_seen_time.seconds`	Se analiza como una fecha y se asignan los segundos desde el ciclo de entrenamiento. También se usa como la marca de tiempo del evento si está presente.
`rogue_aps.mac_vendor`	`target.administrative_domain`	Asignación directa
`rogue_aps.name`	`target.user.userid`	Asignación directa
`rogue_aps.overridden`	`security_result.detection_fields.value` donde `security_result.detection_fields.key` se "anula"	Se convirtió en una cadena y se asignó.
`rogue_aps.signal`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "indicador"	Se convirtió en una cadena y se asignó.
`rogue_aps.ssid`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "ssid"	Asignación directa
`site`	`principal.location.name`	Asignación directa
`wids_aps_info_list.attack_type`	`metadata.description`	Asignación directa
`wids_aps_info_list.detected_ap`	`principal.hostname`	Asignación directa
`wids_aps_info_list.description`	`security_result.description`	Asignación directa También se usa para extraer varios campos con grok.
`wids_aps_info_list.event_time`	`metadata.event_timestamp.seconds`	Se convierte en una cadena y se usa como la marca de tiempo del evento si está presente.
`wids_aps_info_list.event_type`	`metadata.product_event_type`	Asignación directa
`wids_aps_info_list.macaddr`	`principal.mac`	Se asigna y se convierte a minúsculas.
`wids_aps_info_list.radio_band`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "radio_band"	Asignación directa
`wids_aps_info_list.virtual_controller`	`target.hostname`	Asignación directa Se establece en `true` si `notifications.severity` es "Emergency", "Alert" o "Critical". Se establece en `true` si `notifications.severity` es "Emergency", "Alert" o "Critical". Se determina según los campos `events.event_type` o `notifications.type`, o se establece en `GENERIC_EVENT` de forma predeterminada. Se derivan varias asignaciones de la lógica: `STATUS_STARTUP`, `STATUS_SHUTDOWN`, `STATUS_UPDATE`, `USER_LOGIN`, `USER_LOGOUT`. Siempre se establece en "ARUBA_IPS". Siempre se establece en "ARUBA_IPS". Siempre se establece en "ARUBA". Se establece en "DHCP" si `events.event_type` es "Client DHCP Acknowledged" o "Client DHCP Timeout". Se establece en "BOOTREPLY" si `events.event_type` es "Client DHCP Acknowledged" o "Client DHCP Timeout". Se extrae de `events.description` con grok si `events.event_type` es "Client DHCP Acknowledged". Se establece en "ACK" si `events.event_type` es "Client DHCP Acknowledged" y `events.description` contiene una dirección IP. De lo contrario, se establece como "WIN_EXPIRED". Se establece en "ACCESS POINT" si `events.event_type` comienza con "Radio", "WLAN", "AP" o es "Security". Se establece en "DEVICE" si `events.event_type` comienza con "Radio", "WLAN", "AP" o es "Security". Se asigna desde `events.client_mac` para la mayoría de los eventos del cliente o desde `rogue_aps.last_det_device` para los eventos de AP no autorizados. Se establece en "AUTH_VIOLATION" para valores de `events.event_type` específicos o si `notifications.description` contiene "Ataque de DoS" o "Ataque de desconexión". Se establece para valores de `events.event_type` específicos. Se agregan varios pares clave-valor según los campos extraídos, como `bssid`, `channel`, `previous_channel`, `ssid`, `previous bssid`, `acknowledged`, `overriden`, `encryption`, `signal`, `labels` y `radio_band`. Se asigna desde `wids_aps_info_list.description` para los eventos de WIDs. Se determina según `notifications.severity` o `wids_aps_info_list.level`. Se establece en "level: %{wids_aps_info_list.level}" para los eventos de WIDS. Se establece para valores de `events.event_type` específicos. Se asigna desde `rogue_aps.mac_vendor` para eventos de AP no autorizados. Se asigna desde `rogue_aps.last_det_device_name` para eventos de AP no autorizados o `wids_aps_info_list.virtual_controller` para eventos de WIDs. Se extrae de `events.description` con grok si `events.event_type` es "Security". Se asigna desde `notifications.client_mac` para los eventos de notificación, `events.client_mac` para los eventos del cliente, `target_mac` extraído de `wids_aps_info_list.description` para los eventos de WIDs o `rogue_aps.id` para los eventos de AP no autorizados. Se establece en "CLIENT" para la mayoría de los eventos de cliente. Se establece en "DEVICE" para la mayoría de los eventos del cliente. Se establece en "ACTIVE" si `events.event_type` es "Security". Se asigna desde `rogue_aps.name` para eventos de AP no autorizados.
`events.bssid`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "bssid"	Asignación directa
`events.client_mac`	`target.mac`	Asignación directa También se usa para completar `security_result.about.user.product_object_id` para los eventos del cliente y `target.ip` para los eventos de "Seguridad".
`events.description`	`metadata.description`	Asignación directa para eventos de AP y radio. Se usa para extraer varios campos con Grok para otros tipos de eventos.
`events.device_mac`	`principal.mac`	Asignación directa
`events.device_serial`	`principal.resource.product_object_id`	Asignación directa
`events.events_details.2.channel`	`security_result.detection_fields.value`, donde `security_result.detection_fields.key` es "canal"	Asignación directa
`events.group_name`	`principal.group.group_display_name`	Asignación directa
`events.hostname`	`principal.hostname`	Asignación directa
`events.timestamp`	`metadata.event_timestamp.seconds`	Se convierte en una cadena, se quitan los milisegundos y, luego, se asigna. También se usa como la marca de tiempo del evento si está presente.
`timestamp`	`metadata.event_timestamp`	Se usa como marca de tiempo del evento si no hay otros campos de marca de tiempo. Se establece en "ACTIVE" para la mayoría de los eventos del cliente y los eventos de "Seguridad". Se establece en "AUTHTYPE_UNSPECIFIED" si `events.event_type` es "Client 802.1x Radius Reject". Se extrae de `events.description` con grok si `events.event_type` es "Security".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.