tobinguyen-11/wazuh-aruba-clearpass

# 🛡️ Wazuh 集成 Aruba ClearPass (CPPM) 指南  [](https://wazuh.com/) [](https://www.arubanetworks.com/products/security/network-access-control/) [](https://opensource.org/licenses/MIT) 本项目提供了一个全面的集成解决方案，用于在 **Wazuh SIEM** 平台上收集、解码和分析来自 **Aruba ClearPass Policy Manager (CPPM)** 的认证事件。 ## 📊 系统架构 ### 通用数据流 ``` graph LR A[Aruba ClearPass] -- "Syslog (UDP 514)" --> B[Wazuh Manager] B -- "Decoder (PCRE2)" --> C{Analysis Engine} C -- "Match Rules" --> D[Wazuh Indexer] D -- "Visualize" --> E[Wazuh Dashboard] ``` ### 事件处理流程 (序列图) ``` sequenceDiagram participant User as Người dùng/Thiết bị participant CP as Aruba ClearPass participant WZ as Wazuh Manager participant DB as Wazuh Dashboard User->>CP: Gửi yêu cầu xác thực (RADIUS) CP->>CP: Xử lý chính sách (Policy) CP->>WZ: Xuất Syslog (kèm User, MAC, AP, SSID, Status) WZ->>WZ: Giải mã bản tin (Custom Decoder) WZ->>WZ: Phân loại mức độ cảnh báo (Level 3/7) WZ->>DB: Hiển thị cảnh báo thời gian thực ``` ## 📂 项目结构 ``` . ├── config/ │ └── wazuh_cluster/ │ ├── custom_decoders/ │ │ └── clearpass_decoder.xml # Bộ giải mã log PCRE2 │ ├── custom_rules/ │ │ └── clearpass_rules.xml # Tập luật phân loại cảnh báo │ └── ossec.conf # Cấu hình chính (đã bật Syslog) ├── images/ │ └── banner.png # Ảnh đại diện dự án ├── docker-compose.yml # Cấu hình triển khai Docker ├── .gitignore # Cấu hình loại trừ Git └── README.md # Hướng dẫn sử dụng ``` ## 🛠️ 1. 前置条件 ### 软件 * **Docker Engine** v20.10+ * **Docker Compose** v2.0+ ## ⚙️ 2. Aruba ClearPass 端配置 为了成功集成，您需要配置 ClearPass 将日志发送至 Wazuh Manager： 1. **创建 Syslog Target**： * 进入 `Administration > External Servers > Syslog Targets`。 * **Server**：Wazuh 服务器的 IP 地址。 * **Protocol**：UDP（默认端口 514）。 2. **配置 Export Filter**： * 进入 `Administration > External Servers > Dictionary > Export Filters`。 * 选择（或创建）与 `RADIUS Authentication` 相关的过滤器。 * **Prefix**：确保具有一致的标识字符串（例如：`CLEARPASS_AUTH_LOGS`）。 ## 🚀 3. 快速入门 ### 步骤 1：获取源代码 ``` git clone https://github.com/tobinguyen-11/wazuh-aruba-clearpass.git cd wazuh-aruba-clearpass ``` ### 步骤 2：自定义解码器 打开 `config/wazuh_cluster/custom_decoders/clearpass_decoder.xml` 文件，并更新与步骤 2 配置相匹配的识别关键字： ``` CLEARPASS_AUTH_LOGS ``` ### 步骤 3：启动系统 ``` docker-compose up -d ``` ## 🔍 4. 解析与告警逻辑 ### 支持的数据字段： | 字段 | 描述 | 数据示例 | | :--- | :--- | :--- | | `user` | 认证的用户名 | `nguyenvana` | | `srcmac` | 设备的 MAC 地址 | `AA:BB:CC:11:22:33` | | `ssid` | Wi-Fi 网络名称 | `Staff_WIFI` | | `ap_name` | Access Point 名称 | `AP-01-Floor2` | | `error_code` | 错误码 (0 = 成功) | `0` 或 `216` | ### 告警级别分类： | 状态 | 级别 | 含义 | 条件 | | :--- | :--- | :--- | :--- | | **成功** | **3** | 记录正常的登录活动。 | `error_code == 0` | | **失败** | **7** | 需要关注的告警，可能是攻击或故障的迹象。 | `error_code != 0` | ## 🛡️ 5. 测试与故障排除 **查看输入的原始日志：** ``` docker exec -it wazuh.manager tcpdump -i any udp port 514 -A ``` **检查规则的正确性：** ``` docker exec -it wazuh.manager /var/ossec/bin/wazuh-control restart ``` ## 📝 版权与贡献 * **作者**：[Phat, Nguyen Trong (Tobi)] * **邮箱**：ntphat674@gmail.com *本项目旨在提升网络安全监控能力。*

标签：AMSI绕过, Aruba ClearPass, MAC地址追踪, PCRE2, RADIUS认证, Syslog, Wazuh, 企业安全, 威胁检测, 安全信息与事件管理, 安全运营, 扫描框架, 搜索引擎爬取, 正则表达式解析, 版权保护, 网络安全, 网络接入控制(NAC), 网络资产管理, 请求拦截, 隐私保护