이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Aruba IPS 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane을 사용하여 Aruba IPS 로그를 Google Security Operations로 수집하는 방법을 설명합니다. 파서는 JSON 형식 로그에서 이벤트, 알림, 비인가 AP, WIDS AP 정보를 추출합니다. 필드를 매핑하고, 다양한 이벤트 유형 (사용자 로그인/로그아웃, 네트워크 이벤트, 보안 이벤트)을 처리하고, 채널, SSID, BSSID, 심각도와 같은 컨텍스트 정보로 데이터를 보강하여 원시 로그 데이터를 UDM으로 변환합니다. 파서는 타임스탬프 정규화와 잘못된 형식의 JSON에 대한 오류 처리도 실행합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
systemd가 설치된 Windows 2016 이상 또는 Linux 호스트
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Aruba 기기 관리 콘솔 또는 CLI에 대한 권한 있는 액세스

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID_HERE
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARUBA_IPS'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<YOUR_CUSTOMER_ID_HERE>를 실제 고객 ID로 바꿉니다.
Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.
endpoint 값을 테넌트의 지역과 일치하도록 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Aruba 기기에서 Syslog 전달 구성

Aruba 기기 유형에 따라 구성 방법을 선택합니다.

옵션 A: Aruba 컨트롤러 (AOS-8)

이 옵션은 AOS-8을 실행하는 Aruba 컨트롤러에서 Syslog 전달을 구성하는 단계를 자세히 설명합니다.

WebUI 사용 (CEF 형식에 권장)

Aruba 컨트롤러 웹 인터페이스에 로그인합니다.
관리 네트워크 노드 계층 구조에서 구성 > 시스템 > 로깅 > Syslog 서버로 이동합니다.
로깅 서버를 추가하려면 Syslog Servers 섹션에서 +를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 서버 IP 주소: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: 514 (또는 Bindplane에서 구성된 포트)를 입력합니다.
- 프로토콜: Bindplane 에이전트 구성에 따라 UDP 또는 TCP를 선택합니다.
적용을 클릭합니다.
로깅할 메시지 유형을 선택하려면 로깅 수준을 선택합니다.
로깅할 카테고리 또는 하위 카테고리를 선택합니다.
카테고리 또는 하위 카테고리의 심각도 수준을 선택하려면 로깅 수준 드롭다운 목록에서 수준을 선택합니다.
형식 드롭다운 목록에서 로깅 형식 CEF 또는 BSD-standard를 선택합니다.
- 구조화된 로깅에는 ArcSight CEF (Common Event Format)가 권장됩니다.
제출을 클릭합니다.
대기 중인 변경사항을 클릭합니다.
대기 중인 변경사항 창에서 체크박스를 선택하고 변경사항 배포를 클릭합니다.

옵션 B: Aruba Instant AP

이 섹션에서는 WebUI 또는 명령줄 인터페이스 (CLI)를 통해 Aruba Instant 액세스 포인트 (AP)에 Syslog 서버를 설정하는 절차를 설명합니다.

WebUI 사용

Aruba Instant 웹 인터페이스에 로그인합니다.
Instant 기본 창에서 시스템 링크를 클릭합니다.
고급 옵션 표시를 클릭하여 고급 옵션을 표시합니다.
모니터링 탭을 클릭합니다.
- 모니터링 탭 세부정보가 표시됩니다.
서버 섹션의 Syslog server 필드에 Bindplane 에이전트의 IP 주소를 입력합니다.
Syslog Facility Levels 섹션에서 syslog facility levels를 구성하는 데 필요한 값을 선택합니다.
- Syslog Level: 시스템 로그 수준에 관한 자세한 로그입니다.
- AP-Debug: 인스턴트 AP 기기에 관한 자세한 로그입니다.
- 네트워크: 새 Instant AP가 네트워크에 추가되는 등 네트워크 변경에 관한 로그입니다.
- 보안: 클라이언트가 잘못된 비밀번호를 사용하여 연결하는 경우와 같은 네트워크 보안에 관한 로그입니다.
- 시스템: 구성 및 시스템 상태에 관한 로그입니다.
- 사용자: 클라이언트에 관한 중요한 로그입니다.
- User-Debug: 클라이언트에 관한 자세한 로그입니다.
- 무선: 라디오에 관한 로그입니다.
확인을 클릭하여 구성을 저장합니다.

CLI 사용

Aruba Instant AP CLI에 로그인합니다.
구성 모드로 진입합니다.
```
configure terminal
```

syslog 서버 및 수준을 구성합니다.

syslog-server <BINDPLANE_IP_ADDRESS>
syslog-level warnings

<BINDPLANE_IP_ADDRESS>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
필요에 따라 심각도 수준을 조정합니다.

옵션 C: Aruba AOS-S (스위치)

Aruba AOS-S 스위치 CLI에 로그인합니다.
구성 모드로 진입합니다.
```
configure
```
syslog 서버를 구성합니다.
```
logging <BINDPLANE_IP_ADDRESS>
logging severity warnings
```
- <BINDPLANE_IP_ADDRESS>를 Bindplane 에이전트 호스트의 IP 주소로 바꿉니다.
- 필요에 따라 심각도 수준을 조정합니다.
구성을 저장합니다.
```
write memory
```

옵션 D: Aruba Central (온프레미스)

Aruba Central 웹 인터페이스에 로그인합니다.
시스템 > 시스템 관리 > 알림 > Syslog 서버로 이동합니다.
추가 또는 사용 설정을 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 호스트: Bindplane 에이전트 IP 주소를 입력합니다.
- 포트: 514 (또는 Bindplane에서 구성된 포트)를 입력합니다.
- 프로토콜: Bindplane 에이전트 구성에 따라 UDP 또는 TCP를 선택합니다.
- 시설: Local7을 선택하거나 필요에 따라 선택합니다.
- 심각도: 최소 로그 수준을 선택합니다 (예: 경고 또는 정보).
저장을 클릭합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`notifications.created_timestamp`	`metadata.event_timestamp.seconds`	원시 로그 필드 `notifications.created_timestamp`가 초로 변환되어 매핑됩니다. 변환 시 나노초가 손실됩니다.
`notifications.customer_id`	`metadata.product_log_id`	직접 매핑
`notifications.device_id`	`principal.resource.product_object_id`	직접 매핑
`notifications.group_name`	`principal.group.group_display_name`	직접 매핑
`notifications.id`	`metadata.product_log_id`	직접 매핑
`notifications.timestamp`	`metadata.event_timestamp.seconds`	원시 로그 필드 `notifications.timestamp`가 초로 변환되어 매핑됩니다.
`rogue_aps.acknowledged`	`security_result.detection_fields.key`이 '확인됨'인 `security_result.detection_fields.value`	문자열로 변환되고 매핑되었습니다.
`rogue_aps.containment_status`	`metadata.description`	직접 매핑
`rogue_aps.cust_id`	`metadata.product_log_id`	직접 매핑
`rogue_aps.encryption`	`security_result.detection_fields.key`이 'encryption'인 `security_result.detection_fields.value`	직접 매핑
`rogue_aps.first_det_device`	`principal.resource.product_object_id`	직접 매핑
`rogue_aps.first_det_device_name`	`principal.hostname`	직접 매핑
`rogue_aps.first_seen`	`principal.domain.first_seen_time.seconds`	날짜로 파싱되고 에포크 이후의 초가 매핑됩니다.
`rogue_aps.group_name`	`principal.group.group_display_name`	직접 매핑
`rogue_aps.id`	`principal.mac`	소문자로 변환되고 매핑됩니다.
`rogue_aps.labels`	`security_result.detection_fields.value`(여기서 `security_result.detection_fields.key`은 'labels'임)	직접 매핑
`rogue_aps.last_det_device`	`security_result.about.user.product_object_id`	직접 매핑
`rogue_aps.last_det_device_name`	`target.hostname`	직접 매핑
`rogue_aps.last_seen`	`principal.domain.last_seen_time.seconds`	날짜로 파싱되고 에포크 이후의 초가 매핑됩니다. 있는 경우 이벤트 타임스탬프로도 사용됩니다.
`rogue_aps.mac_vendor`	`target.administrative_domain`	직접 매핑
`rogue_aps.name`	`target.user.userid`	직접 매핑
`rogue_aps.overridden`	`security_result.detection_fields.key`이 '재정의'된 `security_result.detection_fields.value`	문자열로 변환되고 매핑되었습니다.
`rogue_aps.signal`	`security_result.detection_fields.key`이 'signal'인 `security_result.detection_fields.value`	문자열로 변환되고 매핑되었습니다.
`rogue_aps.ssid`	`security_result.detection_fields.key`이 'ssid'인 `security_result.detection_fields.value`	직접 매핑
`site`	`principal.location.name`	직접 매핑
`wids_aps_info_list.attack_type`	`metadata.description`	직접 매핑
`wids_aps_info_list.detected_ap`	`principal.hostname`	직접 매핑
`wids_aps_info_list.description`	`security_result.description`	직접 매핑 grok을 사용하여 여러 필드를 추출하는 데도 사용됩니다.
`wids_aps_info_list.event_time`	`metadata.event_timestamp.seconds`	문자열로 변환되며 있는 경우 이벤트 타임스탬프로 사용됩니다.
`wids_aps_info_list.event_type`	`metadata.product_event_type`	직접 매핑
`wids_aps_info_list.macaddr`	`principal.mac`	소문자로 변환되고 매핑됩니다.
`wids_aps_info_list.radio_band`	`security_result.detection_fields.key`이 'radio_band'인 `security_result.detection_fields.value`	직접 매핑
`wids_aps_info_list.virtual_controller`	`target.hostname`	직접 매핑 `notifications.severity`이 '긴급', '알림' 또는 '중요'인 경우 `true`로 설정됩니다. `notifications.severity`이 '긴급', '알림' 또는 '중요'인 경우 `true`로 설정됩니다. `events.event_type` 또는 `notifications.type` 필드에 따라 결정되거나 기본값으로 `GENERIC_EVENT`로 설정됩니다. `STATUS_STARTUP`, `STATUS_SHUTDOWN`, `STATUS_UPDATE`, `USER_LOGIN`, `USER_LOGOUT` 등 여러 매핑이 논리에서 파생됩니다. 항상 'ARUBA_IPS'로 설정됩니다. 항상 'ARUBA_IPS'로 설정됩니다. 항상 'ARUBA'로 설정됩니다. `events.event_type`이 '클라이언트 DHCP 확인' 또는 '클라이언트 DHCP 시간 초과'인 경우 'DHCP'로 설정됩니다. `events.event_type`이 '클라이언트 DHCP 확인' 또는 '클라이언트 DHCP 시간 초과'인 경우 'BOOTREPLY'로 설정됩니다. `events.event_type`이 '클라이언트 DHCP 확인'인 경우 grok을 사용하여 `events.description`에서 추출됩니다. `events.event_type`이 '클라이언트 DHCP 확인'이고 `events.description`에 IP 주소가 포함된 경우 'ACK'로 설정됩니다. 그렇지 않으면 'WIN_EXPIRED'로 설정합니다. `events.event_type`이 'Radio', 'WLAN', 'AP'로 시작하거나 'Security'인 경우 'ACCESS POINT'로 설정합니다. `events.event_type`이 'Radio', 'WLAN', 'AP'로 시작하거나 'Security'인 경우 'DEVICE'로 설정됩니다. 대부분의 클라이언트 이벤트의 경우 `events.client_mac`에서 매핑되고, 비정상 AP 이벤트의 경우 `rogue_aps.last_det_device`에서 매핑됩니다. 특정 `events.event_type` 값의 경우 또는 `notifications.description`에 'DoS Attack' 또는 'disconnect attack'이 포함된 경우 'AUTH_VIOLATION'으로 설정됩니다. 특정 `events.event_type` 값으로 설정됩니다. `bssid`, `channel`, `previous_channel`, `ssid`, `previous bssid`, `acknowledged`, `overriden`, `encryption`, `signal`, `labels`, `radio_band`과 같은 추출된 필드를 기반으로 여러 키-값 쌍이 추가됩니다. wids 이벤트의 경우 `wids_aps_info_list.description`에서 매핑됩니다. `notifications.severity` 또는 `wids_aps_info_list.level`에 의해 결정됩니다. wids 이벤트의 경우 'level: %{wids_aps_info_list.level}'로 설정됩니다. 특정 `events.event_type` 값으로 설정됩니다. 비정상 AP 이벤트의 `rogue_aps.mac_vendor`에서 매핑됩니다. 비인가 AP 이벤트의 경우 `rogue_aps.last_det_device_name`에서 매핑되고 wids 이벤트의 경우 `wids_aps_info_list.virtual_controller`에서 매핑됩니다. `events.event_type`이 'Security'인 경우 grok을 사용하여 `events.description`에서 추출됩니다. 알림 이벤트의 경우 `notifications.client_mac`, 클라이언트 이벤트의 경우 `events.client_mac`, wids 이벤트의 경우 `wids_aps_info_list.description`에서 추출된 `target_mac`, 비정상 AP 이벤트의 경우 `rogue_aps.id`에서 매핑됩니다. 대부분의 클라이언트 이벤트의 경우 'CLIENT'로 설정됩니다. 대부분의 클라이언트 이벤트에 대해 'DEVICE'로 설정됩니다. `events.event_type`이 'Security'인 경우 'ACTIVE'로 설정됩니다. 비정상 AP 이벤트의 `rogue_aps.name`에서 매핑됩니다.
`events.bssid`	`security_result.detection_fields.value`(여기서 `security_result.detection_fields.key`은 'bssid'임)	직접 매핑
`events.client_mac`	`target.mac`	직접 매핑 클라이언트 이벤트의 `security_result.about.user.product_object_id` 및 '보안' 이벤트의 `target.ip`를 채우는 데도 사용됩니다.
`events.description`	`metadata.description`	AP 및 라디오 이벤트의 직접 매핑 다른 이벤트 유형에 대해 grok을 사용하여 여러 필드를 추출하는 데 사용됩니다.
`events.device_mac`	`principal.mac`	직접 매핑
`events.device_serial`	`principal.resource.product_object_id`	직접 매핑
`events.events_details.2.channel`	`security_result.detection_fields.value`(여기서 `security_result.detection_fields.key`은 '채널'임)	직접 매핑
`events.group_name`	`principal.group.group_display_name`	직접 매핑
`events.hostname`	`principal.hostname`	직접 매핑
`events.timestamp`	`metadata.event_timestamp.seconds`	문자열로 변환되고 밀리초가 삭제된 후 매핑됩니다. 있는 경우 이벤트 타임스탬프로도 사용됩니다.
`timestamp`	`metadata.event_timestamp`	다른 타임스탬프 필드가 없는 경우 이벤트 타임스탬프로 사용됩니다. 대부분의 클라이언트 이벤트 및 '보안' 이벤트의 경우 'ACTIVE'로 설정됩니다. `events.event_type`이 '클라이언트 802.1x Radius 거부'인 경우 'AUTHTYPE_UNSPECIFIED'로 설정됩니다. `events.event_type`이 'Security'인 경우 grok을 사용하여 `events.description`에서 추출됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.