Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Aruba Central-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie HPE Aruba Networking Central-Logs mit dem Bindplane-Agent in Google SecOps aufnehmen. Der Parser extrahiert Felder aus Aruba Central-Logs im Syslog-Format. Er verwendet Grok und/oder KV, um die Logmeldung zu parsen, und ordnet diese Werte dann dem Unified Data Model (UDM) zu. Er legt Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp fest.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Aruba Central Management Console

Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem der Bindplane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei config.yaml. Sie befindet sich normalerweise unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yaml so:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'ARUBA_CENTRAL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Dateipfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Syslog in Aruba Central konfigurieren

Melden Sie sich in der Web-UI von Aruba Central an.
Suchen Sie im Dashboard eine Gruppe mit den Geräten , die Sie konfigurieren möchten, oder legen Sie den Filter auf Alle Geräte fest, um globale Einstellungen zu verwenden.
Klicken Sie auf das Gerät oder die Gruppe, die Sie konfigurieren möchten.
Rufen Sie Konfiguration > System > Logging auf.
Suchen Sie den Bereich Syslog-Server und klicken Sie auf die Schaltfläche +.
- Servername: Geben Sie einen eindeutigen und beschreibenden Namen ein.
- Server-IP: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Serverport: Geben Sie die Portnummer des Bindplane-Agents ein.
- Logging-Format: Wählen Sie „Syslog“ aus.
- Kategorie und Einrichtung: Wählen Sie die Kategorien und Einrichtungen aus, für die Sie Logs senden möchten.
- Logging-Level: Wählen Sie Informationen aus.
Klicken Sie auf Einstellungen speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`additional_amm`	`additional.fields`	Zusammengeführt
`additional_nid`	`additional.fields`	Zusammengeführt
`additional_setting_id`	`additional.fields`	Zusammengeführt
`additional_webhook`	`additional.fields`	Zusammengeführt
`dev_type_label`	`additional.fields`	Zusammengeführt
`operation_label`	`additional.fields`	Zusammengeführt
`datetime`	`metadata.event_timestamp`	Als `RFC 3339` geparst
`timestamp`	`metadata.event_timestamp`	Als `RFC 3339` geparst
`event_type`	`metadata.event_type`	Direkt zugeordnet
`alert_type`	`metadata.product_event_type`	Direkt zugeordnet
`event_data`	`metadata.product_event_type`	Direkt zugeordnet
`id`	`metadata.product_log_id`	Direkt zugeordnet
`details.__base_url`	`metadata.url_back_to_product`	Direkt zugeordnet
`network_ssid`	`network.session_id`	Direkt zugeordnet
`app`	`principal.application`	Direkt zugeordnet
`cluster_hostname`	`principal.asset.hostname`	Direkt zugeordnet
`host`	`principal.asset.hostname`	Direkt zugeordnet
`princ_mac`	`principal.asset.mac`	Zusammengeführt
`details.group_name`	`principal.group.group_display_name`	Direkt zugeordnet
`details.group`	`principal.group.product_object_id`	Direkt zugeordnet
`cluster_hostname`	`principal.hostname`	Direkt zugeordnet
`host`	`principal.hostname`	Direkt zugeordnet
`princ_mac`	`principal.mac`	Zusammengeführt
`pid`	`principal.process.pid`	Direkt zugeordnet
`cid`	`principal.user.product_object_id`	Direkt zugeordnet
`details.user`	`principal.user.userid`	Direkt zugeordnet
`device_id`	`principal.user.userid`	Direkt zugeordnet
`labels`	`security_result.about.labels`	Zusammengeführt
`description`	`security_result.description`	Direkt zugeordnet
`state_label`	`security_result.detection_fields`	Zusammengeführt
`severity`	`security_result.severity`	Zugeordnete Werte (insgesamt 5, z.B. `"LOG_INFO", "LOG_DEBUG"` → `LOW`, `LOG_WARN` → `MEDIUM`, `LOG_...
`details.config_change`	`security_result.summary`	Direkt zugeordnet
`target_mac`	`target.asset.mac`	Zusammengeführt
`target_mac`	`target.mac`	Zusammengeführt
`alert_type`	`target.resource.type`	Zugeordnet: `DEVICE_CONFIG_CHANGE_DETECTED` → `DEVICE`
`target_userid`	`target.user.userid`	Direkt zugeordnet
`userid`	`target.user.userid`	Direkt zugeordnet
–	`metadata.product_name`	Konstante: `ARUBA_CENTRAL`
–	`metadata.vendor_name`	Konstante: `ARUBA CENTRAL`
–	`security_result.severity`	Konstante: `LOW`
–	`target.resource.type`	Konstante: `DEVICE`

Änderungsprotokoll

Änderungsprotokoll für diesen Parser ansehen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten