Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Aruba IPS

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Aruba IPS ke Google Security Operations menggunakan Bindplane. Parser mengekstrak peristiwa, notifikasi, AP berbahaya, dan informasi AP WIDS dari log berformat JSON. UDM mengubah data log mentah menjadi UDM dengan memetakan kolom, menangani berbagai jenis peristiwa (login/logout pengguna, peristiwa jaringan, peristiwa keamanan), dan memperkaya data dengan informasi kontekstual seperti saluran, SSID, BSSID, dan tingkat keparahan. Parser juga melakukan normalisasi stempel waktu dan penanganan error untuk JSON yang salah format.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol atau CLI pengelolaan perangkat Aruba

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID_HERE
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARUBA_IPS'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <YOUR_CUSTOMER_ID_HERE> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Perbarui nilai endpoint agar sesuai dengan wilayah tenant Anda.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di perangkat Aruba

Pilih metode konfigurasi berdasarkan jenis perangkat Aruba Anda:

Opsi A: Pengontrol Aruba (AOS-8)

Opsi ini menjelaskan langkah-langkah untuk mengonfigurasi penerusan Syslog di Pengontrol Aruba yang menjalankan AOS-8.

Menggunakan WebUI (Direkomendasikan untuk format CEF)

Login ke antarmuka web Aruba Controller.
Di hierarki Managed Network, buka Configuration > System > Logging > Syslog Servers.
Untuk menambahkan server logging, klik + di bagian Server Syslog.
Berikan detail konfigurasi berikut:
- Alamat IP Server: Masukkan alamat IP agen Bindplane.
- Port: Masukkan 514 (atau port yang dikonfigurasi di Bindplane).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
Klik Terapkan.
Untuk memilih jenis pesan yang ingin Anda catat, pilih Tingkat Pencatatan.
Pilih kategori atau subkategori yang akan dicatat.
Untuk memilih tingkat keparahan kategori atau subkategori, pilih tingkat dari menu drop-down Logging Level.
Pilih format logging CEF atau BSD-standard dari daftar drop-down Format.
- CEF (Common Event Format) ArcSight direkomendasikan untuk logging terstruktur.
Klik Kirim.
Klik Perubahan yang Menunggu Keputusan.
Di jendela Perubahan Tertunda, centang kotak, lalu klik Terapkan perubahan.

Opsi B: Aruba Instant AP

Bagian ini menguraikan prosedur untuk menyiapkan server Syslog di Aruba Instant Access Point (AP) melalui WebUI atau Command Line Interface (CLI).

Menggunakan WebUI

Login ke antarmuka web Aruba Instant.
Di jendela utama Instant, klik link System.
Klik Tampilkan opsi lanjutan untuk menampilkan opsi lanjutan.
Klik tab Pemantauan.
- Detail tab Pemantauan akan ditampilkan.
Di kolom Syslog server yang ada di bagian Servers, masukkan alamat IP agen Bindplane.
Di bagian Tingkat Fasilitas Syslog, pilih nilai yang diperlukan untuk mengonfigurasi tingkat fasilitas syslog.
- Syslog Level: Log mendetail tentang level syslog.
- AP-Debug: Log mendetail tentang perangkat AP Instan.
- Jaringan: Mencatat perubahan jaringan, misalnya, saat Instant AP baru ditambahkan ke jaringan.
- Keamanan: Log tentang keamanan jaringan, misalnya, saat klien terhubung menggunakan sandi yang salah.
- Sistem: Mencatat log tentang konfigurasi dan status sistem.
- Pengguna: Log penting tentang klien.
- User-Debug: Log terperinci tentang klien.
- Nirkabel: Mencatat informasi tentang radio.
Klik OK untuk menyimpan konfigurasi.

Menggunakan CLI

Login ke Aruba Instant AP CLI.
Masuk ke mode konfigurasi:
```
configure terminal
```

Konfigurasi server dan tingkat syslog:

syslog-server <BINDPLANE_IP_ADDRESS>
syslog-level warnings

Ganti <BINDPLANE_IP_ADDRESS> dengan alamat IP host agen Bindplane Anda.
Sesuaikan tingkat keparahan sesuai kebutuhan.

Opsi C: Aruba AOS-S (Switch)

Login ke Aruba AOS-S switch CLI.
Masuk ke mode konfigurasi:
```
configure
```
Konfigurasi server syslog:
```
logging <BINDPLANE_IP_ADDRESS>
logging severity warnings
```
- Ganti <BINDPLANE_IP_ADDRESS> dengan alamat IP host agen Bindplane Anda.
- Sesuaikan tingkat keparahan sesuai kebutuhan.
Simpan konfigurasi:
```
write memory
```

Opsi D: Aruba Central (On-Premise)

Login ke antarmuka web Aruba Central.
Buka Sistem > Administrasi Sistem > Notifikasi > Server Syslog.
Klik Tambahkan atau Aktifkan.
Berikan detail konfigurasi berikut:
- Host: Masukkan alamat IP agen Bindplane.
- Port: Masukkan 514 (atau port yang dikonfigurasi di Bindplane).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
- Fasilitas: Pilih Local7 atau sesuai kebutuhan.
- Tingkat keparahan: Pilih level log minimum (misalnya, Peringatan atau Info).
Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`notifications.created_timestamp`	`metadata.event_timestamp.seconds`	Kolom log mentah `notifications.created_timestamp` dikonversi menjadi detik dan dipetakan. Nanodetik akan hilang dalam konversi.
`notifications.customer_id`	`metadata.product_log_id`	Pemetaan langsung.
`notifications.device_id`	`principal.resource.product_object_id`	Pemetaan langsung.
`notifications.group_name`	`principal.group.group_display_name`	Pemetaan langsung.
`notifications.id`	`metadata.product_log_id`	Pemetaan langsung.
`notifications.timestamp`	`metadata.event_timestamp.seconds`	Kolom log mentah `notifications.timestamp` dikonversi menjadi detik dan dipetakan.
`rogue_aps.acknowledged`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` "dikonfirmasi"	Dikonversi menjadi string dan dipetakan.
`rogue_aps.containment_status`	`metadata.description`	Pemetaan langsung.
`rogue_aps.cust_id`	`metadata.product_log_id`	Pemetaan langsung.
`rogue_aps.encryption`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "encryption"	Pemetaan langsung.
`rogue_aps.first_det_device`	`principal.resource.product_object_id`	Pemetaan langsung.
`rogue_aps.first_det_device_name`	`principal.hostname`	Pemetaan langsung.
`rogue_aps.first_seen`	`principal.domain.first_seen_time.seconds`	Diuraikan sebagai tanggal dan detik sejak epoch dipetakan.
`rogue_aps.group_name`	`principal.group.group_display_name`	Pemetaan langsung.
`rogue_aps.id`	`principal.mac`	Huruf kecil dan dipetakan.
`rogue_aps.labels`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "labels"	Pemetaan langsung.
`rogue_aps.last_det_device`	`security_result.about.user.product_object_id`	Pemetaan langsung.
`rogue_aps.last_det_device_name`	`target.hostname`	Pemetaan langsung.
`rogue_aps.last_seen`	`principal.domain.last_seen_time.seconds`	Diuraikan sebagai tanggal dan detik sejak epoch dipetakan. Juga digunakan sebagai stempel waktu peristiwa jika ada.
`rogue_aps.mac_vendor`	`target.administrative_domain`	Pemetaan langsung.
`rogue_aps.name`	`target.user.userid`	Pemetaan langsung.
`rogue_aps.overridden`	`security_result.detection_fields.value` saat `security_result.detection_fields.key` "diganti"	Dikonversi menjadi string dan dipetakan.
`rogue_aps.signal`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "signal"	Dikonversi menjadi string dan dipetakan.
`rogue_aps.ssid`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "ssid"	Pemetaan langsung.
`site`	`principal.location.name`	Pemetaan langsung.
`wids_aps_info_list.attack_type`	`metadata.description`	Pemetaan langsung.
`wids_aps_info_list.detected_ap`	`principal.hostname`	Pemetaan langsung.
`wids_aps_info_list.description`	`security_result.description`	Pemetaan langsung. Juga digunakan untuk mengekstrak beberapa kolom menggunakan grok.
`wids_aps_info_list.event_time`	`metadata.event_timestamp.seconds`	Dikonversi menjadi string dan digunakan sebagai stempel waktu peristiwa jika ada.
`wids_aps_info_list.event_type`	`metadata.product_event_type`	Pemetaan langsung.
`wids_aps_info_list.macaddr`	`principal.mac`	Huruf kecil dan dipetakan.
`wids_aps_info_list.radio_band`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "radio_band"	Pemetaan langsung.
`wids_aps_info_list.virtual_controller`	`target.hostname`	Pemetaan langsung. Disetel ke `true` jika `notifications.severity` adalah "Darurat", "Peringatan", atau "Kritis". Disetel ke `true` jika `notifications.severity` adalah "Darurat", "Peringatan", atau "Kritis". Ditentukan oleh kolom `events.event_type` atau `notifications.type`, atau ditetapkan ke `GENERIC_EVENT` sebagai default. Beberapa pemetaan berasal dari logika: `STATUS_STARTUP`, `STATUS_SHUTDOWN`, `STATUS_UPDATE`, `USER_LOGIN`, `USER_LOGOUT`. Selalu ditetapkan ke "ARUBA_IPS". Selalu ditetapkan ke "ARUBA_IPS". Selalu ditetapkan ke "ARUBA". Tetapkan ke "DHCP" jika `events.event_type` adalah "Client DHCP Acknowledged" atau "Client DHCP Timeout". Ditetapkan ke "BOOTREPLY" jika `events.event_type` adalah "Client DHCP Acknowledged" atau "Client DHCP Timeout". Diekstrak dari `events.description` menggunakan grok jika `events.event_type` adalah "Client DHCP Acknowledged". Ditetapkan ke "ACK" jika `events.event_type` adalah "Client DHCP Acknowledged" dan `events.description` berisi alamat IP. Jika tidak, ditetapkan ke "WIN_EXPIRED". Setel ke "TITIK AKSES" jika `events.event_type` dimulai dengan "Radio", "WLAN", "AP", atau "Security". Setel ke "DEVICE" jika `events.event_type` dimulai dengan "Radio", "WLAN", "AP", atau "Security". Dipetakan dari `events.client_mac` untuk sebagian besar peristiwa klien, atau `rogue_aps.last_det_device` untuk peristiwa AP yang tidak sah. Tetapkan ke "AUTH_VIOLATION" untuk nilai `events.event_type` tertentu atau jika `notifications.description` berisi "Serangan DoS" atau "serangan pemutusan koneksi". Ditetapkan untuk nilai `events.event_type` tertentu. Beberapa pasangan nilai kunci ditambahkan berdasarkan kolom yang diekstrak seperti `bssid`, `channel`, `previous_channel`, `ssid`, `previous bssid`, `acknowledged`, `overriden`, `encryption`, `signal`, `labels`, `radio_band`. Dipetakan dari `wids_aps_info_list.description` untuk peristiwa wids. Ditentukan oleh `notifications.severity` atau `wids_aps_info_list.level`. Disetel ke "level: %{wids_aps_info_list.level}" untuk peristiwa wids. Ditetapkan untuk nilai `events.event_type` tertentu. Dipetakan dari `rogue_aps.mac_vendor` untuk peristiwa AP tidak sah. Dipetakan dari `rogue_aps.last_det_device_name` untuk peristiwa AP tidak sah atau `wids_aps_info_list.virtual_controller` untuk peristiwa wids. Diekstrak dari `events.description` menggunakan grok jika `events.event_type` adalah "Security". Dipetakan dari `notifications.client_mac` untuk peristiwa notifikasi, `events.client_mac` untuk peristiwa klien, `target_mac` diekstrak dari `wids_aps_info_list.description` untuk peristiwa wids, atau `rogue_aps.id` untuk peristiwa AP berbahaya. Setel ke "CLIENT" untuk sebagian besar peristiwa klien. Ditetapkan ke "DEVICE" untuk sebagian besar peristiwa klien. Ditetapkan ke "ACTIVE" jika `events.event_type` adalah "Security". Dipetakan dari `rogue_aps.name` untuk peristiwa AP tidak sah.
`events.bssid`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "bssid"	Pemetaan langsung.
`events.client_mac`	`target.mac`	Pemetaan langsung. Juga digunakan untuk mengisi `security_result.about.user.product_object_id` untuk peristiwa klien dan `target.ip` untuk peristiwa "Keamanan".
`events.description`	`metadata.description`	Pemetaan langsung untuk peristiwa AP dan Radio. Digunakan untuk mengekstrak beberapa kolom menggunakan grok untuk jenis peristiwa lainnya.
`events.device_mac`	`principal.mac`	Pemetaan langsung.
`events.device_serial`	`principal.resource.product_object_id`	Pemetaan langsung.
`events.events_details.2.channel`	`security_result.detection_fields.value` dengan `security_result.detection_fields.key` adalah "channel"	Pemetaan langsung.
`events.group_name`	`principal.group.group_display_name`	Pemetaan langsung.
`events.hostname`	`principal.hostname`	Pemetaan langsung.
`events.timestamp`	`metadata.event_timestamp.seconds`	Dikonversi menjadi string, milidetik dihapus, lalu dipetakan. Juga digunakan sebagai stempel waktu peristiwa jika ada.
`timestamp`	`metadata.event_timestamp`	Digunakan sebagai stempel waktu peristiwa jika kolom stempel waktu lainnya tidak ada. Ditetapkan ke "AKTIF" untuk sebagian besar peristiwa klien dan peristiwa "Keamanan". Tetapkan ke "AUTHTYPE_UNSPECIFIED" jika `events.event_type` adalah "Client 802.1x Radius Reject". Diekstrak dari `events.description` menggunakan grok jika `events.event_type` adalah "Security".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.