收集 Aruba IPS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Aruba IPS 日志注入到 Google Security Operations。解析器会从 JSON 格式的日志中提取事件、通知、恶意 AP 和 WIDS AP 信息。它通过以下方式将原始日志数据转换为 UDM:映射字段、处理各种事件类型(用户登录/退出、网络事件、安全事件),以及使用渠道、SSID、BSSID 和严重程度等上下文信息来丰富数据。解析器还会执行时间戳归一化,并处理格式错误的 JSON。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 搭载
systemd的 Windows 2016 或更高版本或 Linux 主机 - 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Aruba 设备管理控制台或 CLI 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 个人资料。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID_HERE endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'ARUBA_IPS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<YOUR_CUSTOMER_ID_HERE>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。 - 更新
endpoint值,使其与您租户的区域一致。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Aruba 设备上配置 Syslog 转发
根据您的 Aruba 设备类型选择配置方法:
方案 A:Aruba 控制器 (AOS-8)
此选项详细介绍了在运行 AOS-8 的 Aruba 控制器上配置 Syslog 转发的步骤。
使用 WebUI(建议用于 CEF 格式)
- 登录 Aruba 控制器网页界面。
- 在受管网络节点层次结构中,依次前往配置 > 系统 > 日志记录 > Syslog 服务器。
- 如需添加日志记录服务器,请点击 Syslog 服务器部分中的 +。
- 提供以下配置详细信息:
- 服务器 IP 地址:输入 Bindplane 代理 IP 地址。
- 端口:输入
514(或在 Bindplane 中配置的端口)。 - 协议:根据您的 Bindplane 代理配置,选择 UDP 或 TCP。
- 点击应用。
- 如需选择要记录的讯息类型,请选择记录级别。
- 选择要记录的类别或子类别。
- 如需为相应类别或子类别选择严重性级别,请从日志记录级别下拉列表中选择相应级别。
- 从格式下拉列表中选择日志记录格式 CEF 或 BSD 标准。
- 建议使用 ArcSight CEF(通用事件格式)进行结构化日志记录。
- 点击提交。
- 点击待处理的更改。
- 在待处理的更改窗口中,选中相应复选框,然后点击部署更改。
方案 B:Aruba Instant AP
本部分概述了通过 Aruba Instant 接入点 (AP) 的 WebUI 或命令行界面 (CLI) 在其上设置 Syslog 服务器的流程。
使用 WebUI
- 登录 Aruba Instant 网页界面。
- 在 Instant 主窗口中,点击系统链接。
- 点击显示高级选项以显示高级选项。
- 点击监控标签页。
- 系统会显示“监控”标签页的详细信息。
- 在服务器部分中的 Syslog 服务器字段中,输入 Bindplane 代理的 IP 地址。
- 在 Syslog Facility Levels 部分中,选择所需的值以配置 syslog facility levels。
- Syslog 级别:有关 Syslog 级别的详细日志。
- AP-Debug:有关免安装 AP 设备的详细日志。
- 网络:有关网络更改的日志,例如,当向网络添加新的 Instant AP 时。
- 安全性:有关网络安全的日志,例如客户端使用错误密码连接时。
- 系统:有关配置和系统状态的日志。
- 用户:有关客户端的重要日志。
- User-Debug:有关客户端的详细日志。
- 无线:有关无线电的日志。
- 点击确定以保存配置。
使用 CLI
- 登录 Aruba Instant AP CLI。
进入配置模式:
configure terminal配置 syslog 服务器和级别:
syslog-server <BINDPLANE_IP_ADDRESS> syslog-level warnings
- 将
<BINDPLANE_IP_ADDRESS>替换为 Bindplane 代理主机 IP 地址。 - 根据需要调整严重程度。
选项 C:Aruba AOS-S(交换机)
- 登录 Aruba AOS-S 交换机 CLI。
进入配置模式:
configure配置 syslog 服务器:
logging <BINDPLANE_IP_ADDRESS> logging severity warnings- 将
<BINDPLANE_IP_ADDRESS>替换为 Bindplane 代理主机 IP 地址。 - 根据需要调整严重程度。
- 将
保存配置:
write memory
选项 D:Aruba Central(本地)
- 登录 Aruba Central 网页界面。
- 依次前往系统 > 系统管理 > 通知 > Syslog 服务器。
- 点击添加或启用。
- 提供以下配置详细信息:
- 主机:输入 Bindplane 代理 IP 地址。
- 端口:输入
514(或在 Bindplane 中配置的端口)。 - 协议:根据您的 Bindplane 代理配置,选择 UDP 或 TCP。
- 设施:选择 Local7 或根据需要选择。
- 严重程度:选择最低日志级别(例如警告或信息)。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
notifications.created_timestamp |
metadata.event_timestamp.seconds |
原始日志字段 notifications.created_timestamp 会转换为秒并进行映射。纳秒在转换过程中会丢失。 |
notifications.customer_id |
metadata.product_log_id |
直接映射。 |
notifications.device_id |
principal.resource.product_object_id |
直接映射。 |
notifications.group_name |
principal.group.group_display_name |
直接映射。 |
notifications.id |
metadata.product_log_id |
直接映射。 |
notifications.timestamp |
metadata.event_timestamp.seconds |
原始日志字段 notifications.timestamp 会转换为秒并进行映射。 |
rogue_aps.acknowledged |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“已确认” |
已转换为字符串并映射。 |
rogue_aps.containment_status |
metadata.description |
直接映射。 |
rogue_aps.cust_id |
metadata.product_log_id |
直接映射。 |
rogue_aps.encryption |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“加密” |
直接映射。 |
rogue_aps.first_det_device |
principal.resource.product_object_id |
直接映射。 |
rogue_aps.first_det_device_name |
principal.hostname |
直接映射。 |
rogue_aps.first_seen |
principal.domain.first_seen_time.seconds |
解析为日期,并映射自纪元以来的秒数。 |
rogue_aps.group_name |
principal.group.group_display_name |
直接映射。 |
rogue_aps.id |
principal.mac |
小写并映射。 |
rogue_aps.labels |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“标签” |
直接映射。 |
rogue_aps.last_det_device |
security_result.about.user.product_object_id |
直接映射。 |
rogue_aps.last_det_device_name |
target.hostname |
直接映射。 |
rogue_aps.last_seen |
principal.domain.last_seen_time.seconds |
解析为日期,并映射自纪元以来的秒数。如果存在,还可用作事件时间戳。 |
rogue_aps.mac_vendor |
target.administrative_domain |
直接映射。 |
rogue_aps.name |
target.user.userid |
直接映射。 |
rogue_aps.overridden |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“被替换” |
已转换为字符串并映射。 |
rogue_aps.signal |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“信号” |
已转换为字符串并映射。 |
rogue_aps.ssid |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“ssid” |
直接映射。 |
site |
principal.location.name |
直接映射。 |
wids_aps_info_list.attack_type |
metadata.description |
直接映射。 |
wids_aps_info_list.detected_ap |
principal.hostname |
直接映射。 |
wids_aps_info_list.description |
security_result.description |
直接映射。还用于使用 grok 提取多个字段。 |
wids_aps_info_list.event_time |
metadata.event_timestamp.seconds |
如果存在,则转换为字符串并用作事件时间戳。 |
wids_aps_info_list.event_type |
metadata.product_event_type |
直接映射。 |
wids_aps_info_list.macaddr |
principal.mac |
小写并映射。 |
wids_aps_info_list.radio_band |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“radio_band” |
直接映射。 |
wids_aps_info_list.virtual_controller |
target.hostname |
直接映射。如果 notifications.severity 为“紧急”“提醒”或“严重”,则设置为 true。如果 notifications.severity 为“紧急”“提醒”或“严重”,则设置为 true。由 events.event_type 或 notifications.type 字段确定,或默认设置为 GENERIC_EVENT。以下几种映射关系源自该逻辑:STATUS_STARTUP、STATUS_SHUTDOWN、STATUS_UPDATE、USER_LOGIN、USER_LOGOUT。始终设置为“ARUBA_IPS”。始终设置为“ARUBA_IPS”。始终设置为“ARUBA”。如果 events.event_type 为“客户端 DHCP 确认”或“客户端 DHCP 超时”,则设置为“DHCP”。如果 events.event_type 为“Client DHCP Acknowledged”或“Client DHCP Timeout”,则设置为“BOOTREPLY”。如果 events.event_type 为“Client DHCP Acknowledged”,则使用 grok 从 events.description 中提取。如果 events.event_type 为“Client DHCP Acknowledged”且 events.description 包含 IP 地址,则设置为“ACK”。否则,设置为“WIN_EXPIRED”。如果 events.event_type 以“Radio”“WLAN”“AP”开头或为“Security”,则设置为“ACCESS POINT”。如果 events.event_type 以“Radio”“WLAN”“AP”开头或为“Security”,则设置为“DEVICE”。对于大多数客户端事件,此值映射自 events.client_mac;对于恶意 AP 事件,此值映射自 rogue_aps.last_det_device。对于特定的 events.event_type 值,或如果 notifications.description 包含“DoS Attack”或“disconnect attack”,则设置为“AUTH_VIOLATION”。针对特定 events.event_type 值设置。系统会根据提取的字段(例如 bssid、channel、previous_channel、ssid、previous bssid、acknowledged、overriden、encryption、signal、labels、radio_band)添加多个键值对。从 wids_aps_info_list.description 映射而来,适用于 wids 事件。由 notifications.severity 或 wids_aps_info_list.level 确定。对于 WIDS 事件,设置为“level: %{wids_aps_info_list.level}”。针对特定 events.event_type 值设置。从 rogue_aps.mac_vendor 映射,用于检测到恶意 AP 的事件。从 rogue_aps.last_det_device_name(对于恶意 AP 事件)或 wids_aps_info_list.virtual_controller(对于 wids 事件)映射。如果 events.event_type 为“Security”,则使用 grok 从 events.description 中提取。对于通知事件,此值映射自 notifications.client_mac;对于客户端事件,此值映射自 events.client_mac;对于 WIDS 事件,此值提取自 wids_aps_info_list.description;对于恶意 AP 事件,此值映射自 rogue_aps.id。target_mac对于大多数客户端事件,请设置为“CLIENT”。对于大多数客户端事件,请设置为“DEVICE”。如果 events.event_type 为“Security”,则设置为“ACTIVE”。从 rogue_aps.name 映射,用于检测到恶意 AP 的事件。 |
events.bssid |
security_result.detection_fields.value,其中 security_result.detection_fields.key 是“bssid” |
直接映射。 |
events.client_mac |
target.mac |
直接映射。还用于填充客户端事件的 security_result.about.user.product_object_id 和“安全”事件的 target.ip。 |
events.description |
metadata.description |
AP 和 Radio 事件的直接映射。用于使用 Grok 提取其他事件类型的多个字段。 |
events.device_mac |
principal.mac |
直接映射。 |
events.device_serial |
principal.resource.product_object_id |
直接映射。 |
events.events_details.2.channel |
security_result.detection_fields.value,其中 security_result.detection_fields.key 为“渠道” |
直接映射。 |
events.group_name |
principal.group.group_display_name |
直接映射。 |
events.hostname |
principal.hostname |
直接映射。 |
events.timestamp |
metadata.event_timestamp.seconds |
转换为字符串,移除毫秒,然后进行映射。如果存在,还可用作事件时间戳。 |
timestamp |
metadata.event_timestamp |
如果不存在其他时间戳字段,则用作事件时间戳。对于大多数客户端事件和“安全性”事件,请设置为“ACTIVE”。如果 events.event_type 为“Client 802.1x Radius Reject”,则设置为“AUTHTYPE_UNSPECIFIED”。如果 events.event_type 为“Security”,则使用 grok 从 events.description 中提取。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。