Coletar registros de switches Aruba

Compatível com:

Este documento explica como ingerir registros de switches Aruba no Google Security Operations usando o agente do Bindplane.

Os switches Aruba geram mensagens syslog para eventos do sistema, mudanças de estado da interface, autenticação e atividade de processos. O analisador extrai campos de mensagens syslog usando padrões grok e os mapeia para o modelo UDM.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o switch Aruba
  • Se estiver executando em um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
  • Acesso privilegiado ao switch Aruba

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de ingestão.

  4. Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

    O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para outras opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir o syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/aruba_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ARUBA_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/aruba_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/aruba_switch

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

  • Configuração do receptor :

    • listen_address: endereço IP e porta para detectar:
      • 0.0.0.0 para detectar em todas as interfaces (recomendado)
      • A porta 514 é a porta syslog padrão (requer raiz no Linux; use 1514 para não raiz)

  • Configuração do exportador :

    • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: ID do cliente copiado do console do Google SecOps
    • endpoint: URL do endpoint regional:
      • EUA: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consulte Endpoints regionais para a lista completa

Salvar o arquivo de configuração

  • Depois de editar, salve o arquivo:
    • Linux: pressione Ctrl+O, depois Enter e Ctrl+X
    • Windows: clique em Arquivo > Salvar

Reiniciar o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o observIQ OpenTelemetry Collector.
      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o syslog no switch Aruba

Opção 1: configuração da CLI

  1. Conecte-se ao switch Aruba via SSH:

    ssh admin@<switch-ip>

  2. Insira o modo de configuração global:

    configure terminal

  3. Especifique o servidor syslog externo:

    logging <bindplane-ip>
    • Substitua <bindplane-ip> pelo endereço IP do agente do Bindplane.

  4. (Opcional) Defina o nível de gravidade do registro:

    logging severity <level>

  5. (Opcional) Adicione um identificador de origem de registro personalizado (tag):

    logging facility local5

  6. Salve a configuração:

    write memory

Opção 2: configuração da interface da Web

  1. Faça login na interface da Web do switch Aruba.
  2. Acesse Sistema > Registros > Syslog.
  3. Adicione parâmetros do servidor syslog:
    • Insira o endereço IP do Bindplane.
    • Insira a porta do Bindplane.
    • Defina o nível de gravidade para controlar a verbosidade dos registros.
  4. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
app principal.application O valor do campo app do registro bruto é atribuído diretamente a principal.application.
description security_result.description O valor do campo description do registro bruto é atribuído diretamente a security_result.description.
event_id additional.fields.key A string "event_id" é atribuída a additional.fields.key.
event_id additional.fields.value.string_value O valor do campo event_id do registro bruto é atribuído diretamente a additional.fields.value.string_value.
host principal.asset.hostname O valor do campo host do registro bruto é atribuído diretamente a principal.asset.hostname.
host principal.hostname O valor do campo host do registro bruto é atribuído diretamente a principal.hostname.
pid principal.process.pid O valor do campo pid do registro bruto é atribuído diretamente a principal.process.pid.
ts metadata.event_timestamp O valor do campo ts do registro bruto é convertido em um carimbo de data/hora e atribuído a metadata.event_timestamp. O carimbo de data/hora também é usado para o campo timestamp de nível superior no UDM. O metadata.event_type é definido como "STATUS_UPDATE" porque a variável principal_mid_present é definida como "true" no analisador quando o campo host está presente no registro bruto. A string "ARUBA_SWITCH" é atribuída a metadata.product_name no analisador. A string "ARUBA SWITCH" é atribuída a metadata.vendor_name no analisador. O analisador tenta extrair e analisar o user agent do registro bruto usando client.userAgent.rawUserAgent. Se for bem-sucedido, o user agent analisado será atribuído a network.http.parsed_user_agent. No entanto, como os registros brutos fornecidos não contêm esse campo, é provável que esse campo do UDM esteja vazio. O analisador tenta extrair o user agent bruto do registro bruto usando client.userAgent.rawUserAgent. Se for bem-sucedido, o user agent bruto será atribuído a network.http.user_agent. No entanto, como os registros brutos fornecidos não contêm esse campo, é provável que esse campo do UDM esteja vazio.

Registro de alterações

Consulte o registro de alterações desse analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.