Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux de commutateurs Aruba

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux de commutateurs Aruba dans Google Security Operations à l'aide de l'agent Bindplane.

Les commutateurs Aruba génèrent des messages syslog pour les événements système, les modifications d'état de l'interface, l'authentification et l'activité des processus. L'analyseur extrait les champs des messages syslog à l'aide de modèles grok et les mappe au modèle UDM.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le commutateur Aruba
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié au commutateur Aruba

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système où l'agent Bindplane sera installé.

**Remarque** : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation sous Windows

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING.

Installation sous Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et des informations sur la résolution des problèmes, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/aruba_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ARUBA_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/aruba_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/aruba_switch

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address: adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite un accès root sous Linux ; utilisez 1514 pour un accès non root).
Configuration de l'exportateur :
- creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint: URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe: europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consultez la liste complète des points de terminaison régionaux.

Enregistrer le fichier de configuration

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Recherchez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog sur le commutateur Aruba

Option 1 : Configuration de la CLI

Connectez-vous au commutateur Aruba via SSH :
```
ssh admin@<switch-ip>
```
Passez en mode de configuration globale :
```
configure terminal
```
Spécifiez le serveur syslog externe :
```
logging <bindplane-ip>
```
- Remplacez <bindplane-ip> par l'adresse IP de l'agent Bindplane.
(Facultatif) Définissez le niveau de gravité de la journalisation :
```
logging severity <level>
```
Remarque : Les niveaux de gravité vont de 0 (urgence) à 7 (débogage).
(Facultatif) Ajoutez un identifiant de source de journal personnalisé (tag) :
```
logging facility local5
```
Enregistrez la configuration :
```
write memory
```

Option 2 : Configuration de l'interface Web

Connectez-vous à l'interface Web du commutateur Aruba.
Accédez à System > Logs > Syslog (Système > Journaux > Syslog).
Ajoutez les paramètres du serveur syslog :
- Saisissez l'adresse IP Bindplane.
- Saisissez le port Bindplane.
- Définissez le niveau de gravité pour contrôler la verbosité des journaux.
Cliquez sur Save (Enregistrer).

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`app`	`principal.application`	La valeur du champ `app` du journal brut est directement attribuée à `principal.application`.
`description`	`security_result.description`	La valeur du champ `description` du journal brut est directement attribuée à `security_result.description`.
`event_id`	`additional.fields.key`	La chaîne "event_id" est attribuée à `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	La valeur du champ `event_id` du journal brut est directement attribuée à `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	La valeur du champ `host` du journal brut est directement attribuée à `principal.asset.hostname`.
`host`	`principal.hostname`	La valeur du champ `host` du journal brut est directement attribuée à `principal.hostname`.
`pid`	`principal.process.pid`	La valeur du champ `pid` du journal brut est directement attribuée à `principal.process.pid`.
`ts`	`metadata.event_timestamp`	La valeur du champ `ts` du journal brut est convertie en un code temporel et attribuée à `metadata.event_timestamp`. Le code temporel est également utilisé pour le champ `timestamp` de premier niveau dans l'UDM. `metadata.event_type` est défini sur "STATUS_UPDATE", car la variable `principal_mid_present` est définie sur "true" dans l'analyseur lorsque le champ `host` est présent dans le journal brut. La chaîne "ARUBA_SWITCH" est attribuée à `metadata.product_name` dans l'analyseur. La chaîne "ARUBA SWITCH" est attribuée à `metadata.vendor_name` dans l'analyseur. L'analyseur tente d'extraire et d'analyser l'agent utilisateur à partir du journal brut à l'aide de `client.userAgent.rawUserAgent`. Si l'opération réussit, l'agent utilisateur analysé est attribué à `network.http.parsed_user_agent`. Toutefois, étant donné que les journaux bruts fournis ne contiennent pas ce champ, ce champ UDM sera probablement vide. L'analyseur tente d'extraire l'agent utilisateur brut du journal brut à l'aide de `client.userAgent.rawUserAgent`. Si l'opération réussit, l'agent utilisateur brut est attribué à `network.http.user_agent`. Toutefois, étant donné que les journaux bruts fournis ne contiennent pas ce champ, ce champ UDM sera probablement vide.

Journal des modifications

Consulter le journal des modifications de cet analyseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.