本頁面由 Cloud Translation API 翻譯而成。

收集 Aruba IPS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Aruba IPS 記錄擷取至 Google Security Operations。剖析器會從 JSON 格式的記錄中擷取事件、通知、未經授權的 AP 和 WIDS AP 資訊。這個服務會對應欄位、處理各種事件類型 (使用者登入/登出、網路事件、安全性事件)，並使用管道、SSID、BSSID 和嚴重程度等情境資訊擴充資料，將原始記錄資料轉換為 UDM。剖析器也會執行時間戳記正規化，並處理格式錯誤的 JSON。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
搭載 systemd 的 Windows 2016 以上版本或 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Aruba 裝置管理控制台或 CLI 的特殊權限存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID_HERE
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARUBA_IPS'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <YOUR_CUSTOMER_ID_HERE> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。
更新 endpoint 值，以符合租戶的區域。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Aruba 裝置上設定 Syslog 轉送

根據 Aruba 裝置類型選擇設定方法：

選項 A：Aruba 控制器 (AOS-8)

這個選項會詳細說明如何在執行 AOS-8 的 Aruba 控制器上設定 Syslog 轉送。

使用 WebUI (建議用於 CEF 格式)

登入 Aruba 控制器網頁介面。
在「受管理網路」節點階層中，依序前往「設定」>「系統」>「記錄」>「系統記錄伺服器」。
如要新增記錄伺服器，請按一下「Syslog Servers」部分中的「+」。
提供下列設定詳細資料：
- 伺服器 IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 通訊埠：輸入 514 (或在 Bindplane 中設定的通訊埠)。
- 通訊協定：根據 Bindplane 代理程式設定，選取「UDP」或「TCP」。
按一下「套用」。
如要選取要記錄的訊息類型，請選取「記錄層級」。
選取要記錄的類別或子類別。
如要選取類別或子類別的嚴重性等級，請從「記錄層級」下拉式清單中選取所需等級。
從「Format」下拉式清單中，選取記錄格式「CEF」或「BSD-standard」。
- 建議使用 ArcSight CEF (通用事件格式) 進行結構化記錄。
按一下「提交」。
按一下「待處理的變更」。
在「待處理的變更」視窗中，選取核取方塊，然後按一下「部署變更」。

選項 B：Aruba Instant AP

本節說明如何透過 Aruba Instant Access Point (AP) 的 WebUI 或指令列介面 (CLI) 設定 Syslog 伺服器。

使用 WebUI

登入 Aruba Instant 網頁介面。
在 Instant 主視窗中，按一下「系統」連結。
按一下「顯示進階選項」，顯示進階選項。
按一下「監控」分頁標籤。
- 系統會顯示「監控」分頁的詳細資料。
在「伺服器」部分的「Syslog 伺服器」欄位中，輸入 Bindplane 代理程式的 IP 位址。
在「Syslog Facility Levels」部分中，選取所需值來設定系統記錄設施層級。
- 系統記錄檔層級：系統記錄檔層級的詳細記錄。
- AP-Debug：免安裝 AP 裝置的詳細記錄。
- 網路：記錄網路變更，例如在網路中新增 Instant AP 時。
- 安全性：記錄網路安全相關資訊，例如用戶端使用錯誤密碼連線時。
- 系統：記錄設定和系統狀態。
- 使用者：用戶端的重要記錄。
- User-Debug：用戶端的詳細記錄。
- 無線：記錄無線電相關資訊。
按一下「確定」儲存設定。

使用 CLI

登入 Aruba Instant AP CLI。
進入設定模式：
```
configure terminal
```

設定系統記錄伺服器和層級：

syslog-server <BINDPLANE_IP_ADDRESS>
syslog-level warnings

將 <BINDPLANE_IP_ADDRESS> 替換為 Bindplane 代理程式主機的 IP 位址。
視需要調整嚴重性等級。

選項 C：Aruba AOS-S (交換器)

登入 Aruba AOS-S 交換器 CLI。
進入設定模式：
```
configure
```
設定系統記錄檔伺服器：
```
logging <BINDPLANE_IP_ADDRESS>
logging severity warnings
```
- 將 <BINDPLANE_IP_ADDRESS> 替換為 Bindplane 代理程式主機的 IP 位址。
- 視需要調整嚴重性等級。
儲存設定：
```
write memory
```

選項 D：Aruba Central (內部部署)

登入 Aruba Central 網頁介面。
依序前往「系統」>「系統管理」>「通知」>「系統記錄伺服器」。
按一下「新增」或「啟用」。
提供下列設定詳細資料：
- 主機：輸入 Bindplane 代理程式 IP 位址。
- 通訊埠：輸入 514 (或在 Bindplane 中設定的通訊埠)。
- 通訊協定：根據 Bindplane 代理程式設定，選取「UDP」或「TCP」。
- 設施：選取「Local7」或視需要選取。
- 嚴重性：選取最低記錄層級 (例如「警告」或「資訊」)。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`notifications.created_timestamp`	`metadata.event_timestamp.seconds`	原始記錄欄位 `notifications.created_timestamp` 會轉換為秒數並對應。轉換時會遺失奈秒。
`notifications.customer_id`	`metadata.product_log_id`	直接對應。
`notifications.device_id`	`principal.resource.product_object_id`	直接對應。
`notifications.group_name`	`principal.group.group_display_name`	直接對應。
`notifications.id`	`metadata.product_log_id`	直接對應。
`notifications.timestamp`	`metadata.event_timestamp.seconds`	原始記錄欄位 `notifications.timestamp` 會轉換為秒數並對應。
`rogue_aps.acknowledged`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「已確認」	已轉換為字串並對應。
`rogue_aps.containment_status`	`metadata.description`	直接對應。
`rogue_aps.cust_id`	`metadata.product_log_id`	直接對應。
`rogue_aps.encryption`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「encryption」	直接對應。
`rogue_aps.first_det_device`	`principal.resource.product_object_id`	直接對應。
`rogue_aps.first_det_device_name`	`principal.hostname`	直接對應。
`rogue_aps.first_seen`	`principal.domain.first_seen_time.seconds`	剖析為日期，並對應自 Epoch 起算的秒數。
`rogue_aps.group_name`	`principal.group.group_display_name`	直接對應。
`rogue_aps.id`	`principal.mac`	轉換為小寫並對應。
`rogue_aps.labels`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「labels」	直接對應。
`rogue_aps.last_det_device`	`security_result.about.user.product_object_id`	直接對應。
`rogue_aps.last_det_device_name`	`target.hostname`	直接對應。
`rogue_aps.last_seen`	`principal.domain.last_seen_time.seconds`	系統會將這個值剖析為日期，並對應自 Epoch 起算的秒數。如果存在，也會做為事件時間戳記。
`rogue_aps.mac_vendor`	`target.administrative_domain`	直接對應。
`rogue_aps.name`	`target.user.userid`	直接對應。
`rogue_aps.overridden`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「已覆寫」	已轉換為字串並對應。
`rogue_aps.signal`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「signal」	已轉換為字串並對應。
`rogue_aps.ssid`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「ssid」	直接對應。
`site`	`principal.location.name`	直接對應。
`wids_aps_info_list.attack_type`	`metadata.description`	直接對應。
`wids_aps_info_list.detected_ap`	`principal.hostname`	直接對應。
`wids_aps_info_list.description`	`security_result.description`	直接對應。也用於使用 grok 擷取多個欄位。
`wids_aps_info_list.event_time`	`metadata.event_timestamp.seconds`	如果存在，則會轉換為字串並做為事件時間戳記。
`wids_aps_info_list.event_type`	`metadata.product_event_type`	直接對應。
`wids_aps_info_list.macaddr`	`principal.mac`	轉換為小寫並對應。
`wids_aps_info_list.radio_band`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「radio_band」	直接對應。
`wids_aps_info_list.virtual_controller`	`target.hostname`	直接對應。如果 `notifications.severity` 為「緊急」、「警示」或「重大」，請設為 `true`。如果 `notifications.severity` 為「緊急」、「警示」或「重大」，請設為 `true`。由 `events.event_type` 或 `notifications.type` 欄位決定，或設為預設值 `GENERIC_EVENT`。系統會根據邏輯衍生多個對應項：`STATUS_STARTUP`、`STATUS_SHUTDOWN`、`STATUS_UPDATE`、`USER_LOGIN`、`USER_LOGOUT`。一律設為「ARUBA_IPS」。一律設為「ARUBA_IPS」。一律設為「ARUBA」。如果 `events.event_type` 為「Client DHCP Acknowledged」或「Client DHCP Timeout」，請設為「DHCP」。如果 `events.event_type` 為「Client DHCP Acknowledged」或「Client DHCP Timeout」，請設為「BOOTREPLY」。如果 `events.event_type` 是「Client DHCP Acknowledged」，則使用 grok 從 `events.description` 擷取。如果 `events.event_type` 為「Client DHCP Acknowledged」，且 `events.description` 包含 IP 位址，則設為「ACK」。否則請設為「WIN_EXPIRED」。如果 `events.event_type` 開頭為「Radio」、「WLAN」、「AP」或「Security」，請設為「ACCESS POINT」。如果 `events.event_type` 開頭為「Radio」、「WLAN」、「AP」或為「Security」，請設為「DEVICE」。大多數用戶端事件會對應至 `events.client_mac`，而未經授權的 AP 事件則會對應至 `rogue_aps.last_det_device`。如果 `events.event_type` 包含特定 `events.event_type` 值，或 `notifications.description` 包含「DoS Attack」或「disconnect attack」，請設為「AUTH_VIOLATION」。為特定 `events.event_type` 值設定。系統會根據擷取的欄位 (例如 `bssid`、`channel`、`previous_channel`、`ssid`、`previous bssid`、`acknowledged`、`overriden`、`encryption`、`signal`、`labels`、`radio_band`) 新增多個鍵值組。從 wids 事件對應。`wids_aps_info_list.description`由 `notifications.severity` 或 `wids_aps_info_list.level` 決定。如果是 wids 事件，請設為「level: %{wids_aps_info_list.level}」。為特定 `events.event_type` 值設定。從 `rogue_aps.mac_vendor` 對應至惡意 AP 事件。從 `rogue_aps.last_det_device_name` 對應至 rogue AP 事件，或從 `wids_aps_info_list.virtual_controller` 對應至 wids 事件。如果 `events.event_type` 為「Security」，則使用 grok 從 `events.description` 擷取。從 `notifications.client_mac` 對應至通知事件、從 `events.client_mac` 對應至用戶端事件、從 `wids_aps_info_list.description` 擷取至 wids 事件，或從 `rogue_aps.id` 對應至惡意 AP 事件。`target_mac`大多數用戶端事件都應設為「CLIENT」。大多數用戶端事件都應設為「DEVICE」。如果 `events.event_type` 為「Security」，請設為「ACTIVE」。從 `rogue_aps.name` 對應至未經授權的 AP 事件。
`events.bssid`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「bssid」	直接對應。
`events.client_mac`	`target.mac`	直接對應。也用於填入用戶端事件的 `security_result.about.user.product_object_id` 和「安全性」事件的 `target.ip`。
`events.description`	`metadata.description`	直接對應 AP 和 Radio 事件。用於使用 grok 擷取其他事件類型的多個欄位。
`events.device_mac`	`principal.mac`	直接對應。
`events.device_serial`	`principal.resource.product_object_id`	直接對應。
`events.events_details.2.channel`	`security_result.detection_fields.value`，其中 `security_result.detection_fields.key` 為「channel」	直接對應。
`events.group_name`	`principal.group.group_display_name`	直接對應。
`events.hostname`	`principal.hostname`	直接對應。
`events.timestamp`	`metadata.event_timestamp.seconds`	轉換為字串、移除毫秒，然後對應。如果存在，也會做為事件時間戳記。
`timestamp`	`metadata.event_timestamp`	如果沒有其他時間戳記欄位，系統會將這個欄位做為事件時間戳記。針對大多數用戶端事件和「安全性」事件，請設為「ACTIVE」。如果 `events.event_type` 為「Client 802.1x Radius Reject」，請設為「AUTHTYPE_UNSPECIFIED」。如果 `events.event_type` 為「Security」，則使用 grok 從 `events.description` 擷取。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。