Cisco Application Control Engine-Logs (ACE) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco Application Control Engine (ACE)-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert sicherheitsrelevante Informationen aus den SYSLOG-Nachrichten. Dabei werden reguläre Ausdrücke verwendet, um bestimmte Ereignistypen zu identifizieren. Außerdem werden wichtige Datenpunkte wie Quell- oder Ziel-IP-Adressen und Ports extrahiert und in einem einheitlichen Datenmodell (Unified Data Model, UDM) für eine konsistente Analyse strukturiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Windows 2016 oder höher oder ein Linux-Host mit systemd
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Privilegierter Zugriff auf die Cisco Application Control Engine

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Rufen Sie die Konfigurationsdatei auf:
    • Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_ACE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
    • Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
    • Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog auf Cisco Application Control Engine (ACE) konfigurieren

  1. Melden Sie sich auf dem Cisco ACE-Gerät an.
  2. Gehen Sie zum Hauptmenü > Erweiterte Optionen > Syslog-Konfiguration.
  3. Klicken Sie auf Add First Server (Ersten Server hinzufügen) und dann auf OK.
  4. Geben Sie die IP-Adresse und die Portnummer des Bindplane-Agents in das Feld „First Syslog Server“ (Erster Syslog-Server) ein.
  5. Klicken Sie auf OK. Das System wird mit den neuen Einstellungen neu gestartet.
  6. Klicken Sie noch einmal auf OK.
  7. Klicken Sie auf Zurückgeben.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion security_result.action_details Wert aus dem Feld action nach der Kleinschreibung.
Aktion security_result.action Wenn action built ist, legen Sie ALLOW fest. Wenn action teardown ist, legen Sie BLOCK fest.
Byte network.sent_bytes Nur für event_id 302025 ausgefüllt.
dst_interface target.resource.attribute.labels.value
dst_ip target.ip
dst_port target.port
event_id metadata.product_event_type
icmp_code_laddr additional.fields.value.string_value Der Schlüssel ist icmp_code_laddr.
icmp_code_xlated additional.fields.value.string_value Der Schlüssel ist icmp_code_xlated.
icmp_seq_num additional.fields.value.string_value Der Schlüssel ist icmp_seq_num.
Protokoll network.ip_protocol
Protokoll metadata.description Wird verwendet, um die Beschreibung für bestimmte Ereignistypen zu generieren.
src_interface principal.resource.attribute.labels.value
src_ip principal.ip
src_port principal.port
timestamp metadata.event_timestamp.seconds In Sekunden seit der UNIX-Epoche umgerechnet.
metadata.log_type Hartcodiert auf CISCO_ACE.
metadata.event_type Auf NETWORK_CONNECTION für die Ereignis-IDs 302024, 302025, 302022, 302023, 302026 und 302027 festgelegt. Legen Sie für die Ereignis-ID 400000 SCAN_UNCATEGORIZED fest.
target.resource.attribute.labels.key Hartcodiert auf Connection Interface.
principal.resource.attribute.labels.key Hartcodiert auf Connection Interface.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten