Aruba Wireless Controller とアクセス ポイントのログを収集する
このドキュメントでは、Bindplane を使用して Aruba Wireless Controller とアクセス ポイントのログを収集する方法について説明します。パーサーは SYSLOG メッセージを処理し、オブザーバー、仲介者、アクセス ポイントの詳細に関連するフィールドを抽出します。次に、これらのフィールドを統合データモデル(UDM)にマッピングし、セキュリティ結果の重大度でイベントデータを拡充し、プロセス中にさまざまなエラー条件を処理します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemd
を使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- Aruba Wireless Controller への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。ファイルを、Bindplane をインストールするシステムに安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: ARUBA_WIRELESS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>
は、実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Aruba Wireless Controller とアクセス ポイントを構成する
- Aruba コントローラのウェブ UI にログインします。
- 上部のメニューに移動し、[設定] > [システム] を選択します。
- [ロギング] を選択して、ロギング構成ページを開きます。
- [Syslog servers] セクションで、[+ Add] をクリックして新しい Syslog サーバーを追加します。
- 新しいフォームが表示されます。このフォームに、次の詳細情報を入力します。
- 名前: syslog サーバーの一意の名前を入力します(例:
Google SecOps Syslog
)。 - IP アドレス: Bindplane の IP アドレスを入力します。
- Port: Bindplane ポート番号を入力します(通常は UDP の場合は 514)。
- Logging Facility: メニューから [local 6] を選択します(これはネットワーク デバイスでよく使用されます)。
- Logging Level: 情報ログをキャプチャするには、[Informational] を選択します。
- 形式: [bsd-standard] 形式を選択します(これは、Aruba コントローラで使用されるデフォルトの Syslog 形式です)。
- 名前: syslog サーバーの一意の名前を入力します(例:
- [送信] をクリックして設定を保存します。
- [保留中の変更] をクリックします。
[Deploy Changes] をクリックして、新しい Syslog サーバー構成を適用します。
[ロギングレベル] 設定に移動し、次の各カテゴリの [ロギングレベル] を [情報] に設定します。
- ネットワーク
- すべて
- クラスタ
- DHCP
- GP
- モビリティ
- Packet-Dump
- SDN
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
Additional Info |
read_only_udm.security_result.description |
未加工ログの Additional Info の値は、UDM フィールド security_result.description にマッピングされます。 |
AP |
read_only_udm.target.hostname |
未加工ログに存在する場合、AP: の後の値が抽出され、UDM フィールド target.hostname にマッピングされます。 |
BSSID |
read_only_udm.target.mac 、read_only_udm.principal.resource.name (リソースタイプが BSSID の場合) |
未加工ログの BSSID 値は target.mac にマッピングされます。また、principal.resource.type が BSSID の場合、リソース名としても使用されます。 |
COMMAND |
read_only_udm.principal.process.command_line |
未加工ログのコマンド値は、UDM フィールド principal.process.command_line にマッピングされます。 |
Dst-MAC |
read_only_udm.target.mac |
存在する場合、未加工ログの Dst-MAC 値は UDM フィールド target.mac にマッピングされます。 |
SERVER |
read_only_udm.target.hostname |
存在する場合、未加工ログのサーバー名は UDM フィールド target.hostname にマッピングされます。 |
SERVER-IP |
read_only_udm.target.ip |
存在する場合、未加工ログのサーバー IP は UDM フィールド target.ip にマッピングされます。 |
Src-MAC |
read_only_udm.principal.mac |
存在する場合、未加工ログの Src-MAC 値は UDM フィールド principal.mac にマッピングされます。 |
SSID |
read_only_udm.target.resource.name (リソースタイプが SSID の場合) |
target.resource.type が SSID の場合、未加工ログの SSID 値がリソース名として使用されます。 |
USER |
read_only_udm.target.user.userid |
存在する場合、未加工ログのユーザー ID は UDM フィールド target.user.userid にマッピングされます。 |
USERIP |
read_only_udm.principal.ip 、read_only_udm.observer.ip |
存在する場合、未加工ログのユーザー IP は UDM フィールド principal.ip と observer.ip にマッピングされます。 |
USERMAC |
read_only_udm.principal.mac |
存在する場合、未加工ログのユーザー MAC は UDM フィールド principal.mac にマッピングされます。 |
USERNAME |
read_only_udm.principal.user.userid |
存在する場合、未加工ログのユーザー名は UDM フィールド principal.user.userid にマッピングされます。 |
action |
read_only_udm.security_result.action |
未加工ログのアクション値(例: permit 、deny )は UDM フィールド security_result.action にマッピングされます。 |
apname |
read_only_udm.target.hostname |
存在する場合、未加工ログの AP 名は UDM フィールド target.hostname にマッピングされます。 |
bssid |
read_only_udm.target.mac |
存在する場合、未加工ログの BSSID 値は UDM フィールド target.mac にマッピングされます。 |
collection_time.seconds |
read_only_udm.metadata.event_timestamp.seconds |
未加工ログの収集時間の秒値は、UDM フィールド metadata.event_timestamp.seconds にマッピングされます。 |
device_ip |
read_only_udm.intermediary.ip |
未加工ログまたは logstash のデバイス IP は、UDM フィールド intermediary.ip にマッピングされます。 |
dstip |
read_only_udm.target.ip |
存在する場合、未加工ログの宛先 IP は UDM フィールド target.ip にマッピングされます。 |
dstport |
read_only_udm.target.port |
存在する場合、未加工ログの宛先ポートは UDM フィールド target.port にマッピングされます。 |
event_id |
read_only_udm.metadata.product_event_type |
未加工ログのイベント ID は、UDM の metadata.product_event_type フィールドの作成に使用されます。このフィールドには Event ID: という接頭辞が付いています。 |
event_message |
read_only_udm.security_result.summary |
未加工ログのイベント メッセージは、UDM フィールド security_result.summary にマッピングされます。 |
log.source.address |
read_only_udm.observer.ip |
ログ送信元アドレスは UDM フィールド observer.ip にマッピングされます。 |
log_type |
read_only_udm.metadata.log_type |
未加工ログのログタイプは、UDM フィールド metadata.log_type にマッピングされます。 |
logstash.collect.host |
read_only_udm.observer.ip または read_only_udm.observer.hostname |
logstash 収集ホストは、IP アドレスの場合は observer.ip 、ホスト名の場合は observer.hostname にマッピングされます。 |
logstash.ingest.host |
read_only_udm.intermediary.hostname |
Logstash 取り込みホストは UDM フィールド intermediary.hostname にマッピングされます。 |
logstash.process.host |
read_only_udm.intermediary.hostname |
Logstash プロセスホストは UDM フィールド intermediary.hostname にマッピングされます。 |
program |
read_only_udm.target.application |
未加工ログのプログラム名は、UDM フィールド target.application にマッピングされます。 |
serverip |
read_only_udm.target.ip |
存在する場合、未加工ログのサーバー IP は UDM フィールド target.ip にマッピングされます。 |
servername |
read_only_udm.target.hostname |
存在する場合、未加工ログのサーバー名は UDM フィールド target.hostname にマッピングされます。 |
srcip |
read_only_udm.principal.ip |
存在する場合、未加工ログの送信元 IP は UDM フィールド principal.ip にマッピングされます。 |
srcport |
read_only_udm.principal.port |
存在する場合、未加工ログの送信元ポートは UDM フィールド principal.port にマッピングされます。 |
syslog_host |
read_only_udm.intermediary.hostname |
未加工ログの syslog ホストは、UDM フィールド intermediary.hostname にマッピングされます。 |
timestamp |
read_only_udm.metadata.event_timestamp |
未加工ログのタイムスタンプが解析され、UDM フィールド metadata.event_timestamp にマッピングされます。 |
userip |
read_only_udm.principal.ip 、read_only_udm.observer.ip |
存在する場合、未加工ログのユーザー IP は UDM フィールド principal.ip と observer.ip にマッピングされます。 |
usermac |
read_only_udm.principal.mac |
存在する場合、未加工ログのユーザー MAC は UDM フィールド principal.mac にマッピングされます。 |
username |
read_only_udm.principal.user.userid |
存在する場合、未加工ログのユーザー名は UDM フィールド principal.user.userid にマッピングされます。event_id とパーサー内のロジックから取得されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。Wireless にハードコードされています。Aruba にハードコードされています。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。正規表現を使用して未加工のログメッセージから抽出されます。イベント ID とログ メッセージの内容に基づいてパーサーによって決定されます。event_type が USER_LOGIN または関連する認証イベントの場合、空のオブジェクトが追加されます。イベントで使用されるネットワーク プロトコル(TCP、UDP、ICMP、IGMP)。特定の条件に基づいて未加工ログから抽出された追加フィールドが含まれます。たとえば、ap_name が存在する場合は、Key-Value ペアとして追加されます。プリンシパルのコンテキストに BSSID が存在する場合は、BSSID に設定します。ターゲットのコンテキストに SSID が存在する場合は SSID に設定します。未加工ログから抽出された関連する検出情報の Key-Value ペア(BSSID や SSID など)が含まれます。 |
変更点
2024-12-27
機能強化:
- syslog ログの新しいパターンをサポートする Grok パターンを追加しました。
2024-09-04
機能強化:
- SYSLOG ログの新しいパターンのサポートを追加しました。
2024-08-26
機能強化:
- 未解析の SYSLOG ログを処理するサポートを追加しました。
details
をmetadata.description
にマッピングしました。
2024-06-18
機能強化:
- 未解析の SYSLOG ログを処理するサポートを追加しました。
2024-04-18
機能強化:
ap_name
から有効な値を抽出する Grok パターンを追加しました。ap_name
をadditional.fields
にマッピングしました。
2023-05-25
バグの修正:
- ログパターンが異なるために、解析されたログが失敗する。
2022-09-15
バグの修正:
- ログのタイムスタンプに日付フィールドが含まれる可能性があるログと、ログにキー
userip
が含まれていない可能性のあるログを解析するように、grok パターンを変更しました。 - 可能な限り、
metadata.event_type
をGENERIC_EVENT
からSTATUS_UPDATE
に変更しました。
2022-08-23
機能強化:
- お客様固有のパーサーをデフォルトのパーサーに移行しました。
- event_id が「132053」の場合に「metadata.event_type」のマッピングを「GENERIC_EVENT」から「USER_RESOURCE_ACCESS」に変更しました。
2022-03-30
機能強化:
- 次の新しいイベント ID
124003
、126037
、126038
、199801
、235008
、235009
、304119
、306602
、326091
、326098
、326271
、326272
、326273
、326274
、326275
、326276
、326277
、326278
、326284
、341004
、350008
、351008
、358000
、393000
、399815
、520013
、522274
、541004
が追加されました。 Event Id
が126034
、126064
、127064
、132006
、132030
、132093
、132094
、132197
のmetadata.event_type
をGENERIC_EVENT
からSCAN_UNCATEGORIZED
に変更しましたEvent Id
が132207
のmetadata.event_type
をGENERIC_EVENT
からNETWORK_CONNECTION
に変更しましたEvent Id
が520002
のmetadata.event_type
をGENERIC_EVENT
からUSER_UNCATEGORIZED
に変更しましたintermediary.hostname
、intermediary.mac
、intermediary.ip
、target.application
、target.process.pid
をマッピングしましたlogstash.irm_site
、logstash.irm_environment
、logstash.irm_region
をadditional.fields
にマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。