Cisco IOS 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Cisco Internetwork Operating System (IOS) 로그를 Google Security Operations로 처리하는 방법을 설명합니다. 파서는 원시 syslog 메시지를 통합 데이터 모델 (UDM)을 준수하는 구조화된 형식으로 변환합니다. 먼저 일반적인 Cisco IOS syslog 형식을 기반으로 grok 패턴을 사용하여 필드를 초기화하고 추출합니다. 그런 다음 추출된 필드를 상응하는 UDM 필드에 매핑하고, 이벤트를 분류하고, 추가 컨텍스트로 데이터를 보강한 후, 마지막으로 UDM 형식으로 구조화된 로그를 출력합니다.
시작하기 전에
- Google SecOps 인스턴스가 있는지 확인합니다.
- Windows 2016 이상을 사용 중이거나
systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다. - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Cisco IOS에 대한 액세스 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux의/etc/bindplane-agent/디렉터리 또는 Windows의 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CISCO_IOS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Cisco IOS에서 Syslog 구성
- Cisco IOS에 로그인합니다.
다음 명령어를 입력하여 권한을 에스컬레이션합니다.
enable다음 명령어를 입력하여 구성 모드로 전환합니다.
conf t다음 명령어를 입력합니다.
logging host <bindplane-server-ip> transport <tcp/udp> port <port-number> logging source-interface <interface><bindplane-server-ip>를 Bindplane 에이전트 IP 주소로,<port-number>를 구성된 포트로 바꿉니다.<tcp/udp>를 Bindplane 에이전트에서 구성된 리슨 프로토콜(예:udp)로 바꿉니다.<interface>를 Cisco 인터페이스 ID로 바꿉니다.
다음 명령어를 입력하여 우선순위 수준을 설정합니다.
logging trap Informational logging console Informational logging severity Informationalsyslog 시설을 설정합니다.
logging facility syslog저장 후 종료합니다.
다음 명령어를 입력하여 다시 시작 시에도 유지되도록 설정을 구성합니다.
copy running-config startup-config
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| AcsSessionID | network.session_id | AcsSessionID 필드에서 가져온 값입니다. |
| AcctRequest-Flags | security_result.summary | AcctRequest-Flags 필드에서 가져온 값입니다. |
| AcctRequest-Flags | security_result.action | AcctRequest-Flags에 Start가 포함된 경우 ALLOW로 설정합니다. AcctRequest-Flags에 Stop가 포함된 경우 BLOCK로 설정합니다. |
| AuthenticationIdentityStore | additional.fields.key = AuthenticationIdentityStore, value = AuthenticationIdentityStore |
AuthenticationIdentityStore 필드에서 가져온 값입니다. |
| AuthenticationMethod | additional.fields.key = AuthenticationMethod, value = AuthenticationMethod |
AuthenticationMethod 필드에서 가져온 값입니다. |
| AuthenticationStatus | security_result.summary | AuthenticationStatus 필드에서 가져온 값입니다. |
| Authen-Method | security_result.detection_fields.key = Authen-Method, value = Authen-Method |
Authen-Method 필드에서 가져온 값입니다. |
| Authen-Method | extensions.auth.type | Authen-Method에 TacacsPlus가 포함된 경우 TACACS로 설정합니다. |
| AVPair_priv-lvl | security_result.detection_fields.key = AVPair_priv-lvl, value = AVPair_priv-lvl |
AVPair_priv-lvl 필드에서 가져온 값입니다. |
| AVPair_start_time | additional.fields.key = AVPair_start_time, value = AVPair_start_time |
AVPair_start_time 필드에서 가져온 값입니다. |
| AVPair_task_id | additional.fields.key = AVPair_task_id, value = AVPair_task_id |
AVPair_task_id 필드에서 가져온 값입니다. |
| AVPair_timezone | additional.fields.key = AVPair_timezone, value = AVPair_timezone |
AVPair_timezone 필드에서 가져온 값입니다. |
| auditid | metadata.product_log_id | auditid 필드에서 가져온 값입니다. |
| cisco_facility | IDM 객체에 매핑되지 않았습니다. | |
| cisco_message | metadata.description | cisco_message 필드에서 가져온 값입니다. |
| cisco_mnemonic | security_result.rule_name | cisco_mnemonic 필드에서 가져온 값입니다. |
| cisco_severity | security_result.severity | 값에 따라 다양한 심각도 수준에 매핑됩니다. 0: 경고, 1: 심각, 2: 높음, 3: 오류, 4: 중간, 5: 낮음, 6: 정보, 7: 정보 |
| cisco_severity | security_result.severity_details | 값에 따라 다양한 심각도 세부정보에 매핑됩니다. 0: System unusable, 1: Immediate action needed, 2: Critical condition, 3: Error condition, 4: Warning condition, 5: Normal but significant condition, 6: Informational message only, 7: Appears during debugging only |
| cisco_tag | metadata.product_event_type | cisco_tag 필드에서 가져온 값입니다. |
| cisco_tag | metadata.event_type | 값에 따라 서로 다른 이벤트 유형에 매핑됩니다. SYS-6-LOGGINGHOST_STARTSTOP, TRACK-6-STATE, SYS-3-LOGGINGHOST_FAIL, CRYPTO-4-IKMP_NO_SA, HA_EM-3-FMPD_ACTION_NOTRACK, HA_EM-3-FMPD_ERROR: GENERIC_EVENT; IPSEC-3-REPLAY_ERROR, CRYPTO-4-RECVD_PKT_INV_SPI, IPSEC-3-HMAC_ERROR, FW-6-DROP_PKT, SEC-6-IPACCESSLOGP: NETWORK_UNCATEGORIZED; CRYPTO-4-IKMP_BAD_MESSAGE, CRYPTO-6-IKMP_NOT_ENCRYPTED, CRYPTO-6-IKMP_MODE_FAILURE: STATUS_UNCATEGORIZED; SYS-5-CONFIG_I: USER_UNCATEGORIZED |
| ClientLatency | additional.fields.key = ClientLatency, value = ClientLatency |
ClientLatency 필드에서 가져온 값입니다. |
| CmdSet | additional.fields.key = CmdSet, value = CmdSet |
CmdSet 필드에서 가져온 값입니다. |
| 명령어 | principal.process.command_line | 명령어 필드에서 가져온 값입니다. |
| CPMSessionID | additional.fields.key = CPMSessionID, value = CPMSessionID |
CPMSessionID 필드에서 가져온 값입니다. |
| description | metadata.description | 설명 입력란에서 가져온 값입니다. |
| DestinationIPAddress | target.asset.ip | DestinationIPAddress 필드에서 가져온 값입니다. |
| DestinationIPAddress | target.ip | DestinationIPAddress 필드에서 가져온 값입니다. |
| DestinationPort | target.port | DestinationPort 필드에서 가져온 값입니다. |
| Device_IP_Address | principal.asset.ip | Device_IP_Address 필드에서 가져온 값입니다. |
| Device_IP_Address | principal.ip | Device_IP_Address 필드에서 가져온 값입니다. |
| Device_Type | additional.fields.key = Device_Type, value = Device_Type |
Device_Type 필드에서 가져온 값입니다. |
| dst_ip | target.asset.ip | dst_ip 필드에서 가져온 값입니다. |
| dst_ip | target.ip | dst_ip 필드에서 가져온 값입니다. |
| dst_port | target.port | dst_port 필드에서 가져온 값입니다. |
| dst_user | target.user.userid | dst_user 필드에서 가져온 값입니다. |
| EnableFlag | security_result.detection_fields.key = EnableFlag, value = EnableFlag |
EnableFlag 필드에서 가져온 값입니다. |
| IdentityGroup | additional.fields.key = IdentityGroup, value = IdentityGroup |
IdentityGroup 필드에서 가져온 값입니다. |
| IdentitySelectionMatchedRule | security_result.detection_fields.key = IdentitySelectionMatchedRule, value = IdentitySelectionMatchedRule |
IdentitySelectionMatchedRule 필드에서 가져온 값입니다. |
| intermediary_host | intermediary.hostname | intermediary_host 필드에서 가져온 값입니다. |
| intermediary_ip | intermediary.ip | intermediary_ip 필드에서 가져온 값입니다. |
| IPSEC | additional.fields.key = IPSEC, value = IPSEC |
IPSEC 필드에서 가져온 값입니다. |
| ISEPolicySetName | extensions.auth.type | ISEPolicySetName에 Tacacs가 포함된 경우 TACACS로 설정합니다. |
| IsMachineAuthentication | additional.fields.key = IsMachineAuthentication, value = IsMachineAuthentication |
IsMachineAuthentication 필드에서 가져온 값입니다. |
| IsMachineIdentity | security_result.detection_fields.key = IsMachineIdentity, value = IsMachineIdentity |
IsMachineIdentity 필드에서 가져온 값입니다. |
| 위치 | additional.fields.key = Location, value = Location |
위치 필드에서 가져온 값입니다. |
| MatchedCommandSet | additional.fields.key = MatchedCommandSet, value = MatchedCommandSet |
MatchedCommandSet 필드에서 가져온 값입니다. |
| 메시지 | IDM 객체에 매핑되지 않았습니다. | |
| metadata_event_type | metadata.event_type | metadata_event_type 필드에서 가져온 값입니다. 비어 있거나 GENERIC_EVENT인 경우 principal_mid_present 및 target_mid_present가 true이면 NETWORK_UNCATEGORIZED로, principal_userid_present가 true이면 USER_UNCATEGORIZED로, principal_mid_present가 true이면 STATUS_UPDATE로, 그 외의 경우에는 GENERIC_EVENT로 설정합니다. 서비스에 Login가 포함된 경우 principal_userid_present, principal_mid_present, target_mid_present가 true이면 USER_LOGIN으로, principal_userid_present가 true이면 USER_UNCATEGORIZED로 설정합니다. |
| Model_Name | additional.fields.key = Model_Name, value = Model_Name |
Model_Name 필드에서 가져온 값입니다. |
| 이름 | additional.fields.key = Name, value = Name |
이름 필드에서 가져온 값입니다. |
| Network_Device_Profile | additional.fields.key = Network_Device_Profile, value = Network_Device_Profile |
Network_Device_Profile 필드에서 가져온 값입니다. |
| NetworkDeviceGroups | additional.fields.key = NetworkDeviceGroups, value = NetworkDeviceGroups |
NetworkDeviceGroups 필드에서 가져온 값입니다. |
| NetworkDeviceName | principal.asset.hostname | NetworkDeviceName 필드에서 가져온 값입니다. |
| NetworkDeviceName | principal.hostname | NetworkDeviceName 필드에서 가져온 값입니다. |
| NetworkDeviceProfileId | principal.resource.product_object_id | NetworkDeviceProfileId 필드에서 가져온 값입니다. |
| pid | principal.process.pid | pid 필드에서 가져온 값입니다. |
| 포트 | principal.resource.attribute.labels.key = Port, value = Port |
포트 필드에서 가져온 값입니다. |
| 권한 수준 | security_result.detection_fields.key = Privilege-Level, value = Privilege-Level |
권한 수준 필드에서 가져온 값입니다. |
| product_event_type | metadata.product_event_type | product_event_type 필드에서 가져온 값입니다. |
| 프로토콜 | additional.fields.key = Protocol, value = Protocol |
프로토콜 필드에서 가져온 값입니다. |
| 프로토콜 | network.application_protocol | 프로토콜이 HTTPS이면 HTTPS로 설정합니다. |
| 프로토콜 | network.ip_protocol | 프로토콜이 TCP 또는 UDP인 경우 프로토콜의 대문자 값으로 설정합니다. |
| reason | security_result.summary | 이유 입력란에서 가져온 값입니다. |
| 리전 | principal.location.country_or_region | 지역 필드에서 가져온 값입니다. |
| Remote-Address | target.asset.ip | IP 주소로 유효성을 검사한 후 Remote-Address 필드에서 가져온 값입니다. |
| Remote-Address | target.ip | IP 주소로 유효성을 검사한 후 Remote-Address 필드에서 가져온 값입니다. |
| RequestLatency | security_result.detection_fields.key = RequestLatency, value = RequestLatency |
RequestLatency 필드에서 가져온 값입니다. |
| 응답 | additional.fields.key = Response, value = Response |
응답 필드에서 가져온 값입니다. |
| SelectedAccessService | security_result.action_details | SelectedAccessService 필드에서 가져온 값입니다. |
| SelectedAuthenticationIdentityStores | security_result.detection_fields.key = SelectedAuthenticationIdentityStores, value = SelectedAuthenticationIdentityStores |
SelectedAuthenticationIdentityStores 필드에서 가져온 값입니다. |
| SelectedCommandSet | additional.fields.key = SelectedCommandSet, value = SelectedCommandSet |
SelectedCommandSet 필드에서 가져온 값입니다. |
| 서비스 | additional.fields.key = Service, value = Service |
서비스 필드에서 가져온 값입니다. |
| Service-Argument | additional.fields.key = Service-Argument, value = Service-Argument |
Service-Argument 필드에서 가져온 값입니다. |
| 줄이는 것을 | security_result.severity | 심각도에 Notice가 포함된 경우 INFORMATIONAL로 설정합니다. |
| Software_Version | additional.fields.key = Software_Version, value = Software_Version |
Software_Version 필드에서 가져온 값입니다. |
| source_facility | principal.asset.hostname | source_facility 필드에서 가져온 값입니다. |
| source_facility | principal.hostname | source_facility 필드에서 가져온 값입니다. |
| src_ip | principal.asset.ip | src_ip 필드에서 가져온 값입니다. |
| src_ip | principal.ip | src_ip 필드에서 가져온 값입니다. |
| src_mac | principal.mac | .를 :로 대체한 후 src_mac 필드에서 가져온 값입니다. |
| src_port | principal.port | src_port 필드에서 가져온 값입니다. |
| src_user_id | principal.user.userid | src_user_id 필드에서 가져온 값입니다. 비어 있으면 사용자 필드에서 값을 가져옵니다. 여전히 비어 있으면 StepData_9 필드에서 값을 가져옵니다. |
| src_user_name | principal.user.user_display_name | src_user_name 필드에서 가져온 값입니다. |
| 단계 | additional.fields.key = Step, value = Step |
'단계' 필드에서 가져온 값입니다. |
| StepData_10 | principal.asset.hostname | StepData_10 필드에서 가져온 값입니다. |
| StepData_10 | principal.hostname | StepData_10 필드에서 가져온 값입니다. |
| StepData_13 | security_result.summary | StepData_13 필드에서 가져온 값입니다. |
| StepData_14 | security_result.detection_fields.key = StepData_14, value = StepData_14 |
StepData_14 필드에서 가져온 값입니다. |
| StepData_15 | security_result.detection_fields.key = StepData_15, value = StepData_15 |
StepData_15 필드에서 가져온 값입니다. |
| StepData_20 | security_result.detection_fields.key = StepData_20, value = StepData_20 |
StepData_20 필드에서 가져온 값입니다. |
| StepData_21 | security_result.detection_fields.key = StepData_21, value = StepData_21 |
StepData_21 필드에서 가져온 값입니다. |
| StepData_3 | additional.fields.key = StepData_3, value = StepData_3 |
StepData_3 필드에서 가져온 값입니다. |
| StepData_4 | security_result.detection_fields.key = StepData_4, value = StepData_4 |
StepData_4 필드에서 가져온 값입니다. |
| StepData_6 | security_result.detection_fields.key = StepData_6, value = StepData_6 |
StepData_6 필드에서 가져온 값입니다. |
| StepData_7 | security_result.detection_fields.key = StepData_7, value = StepData_7 |
StepData_7 필드에서 가져온 값입니다. |
| StepData_8 | security_result.detection_fields.key = StepData_8, value = StepData_8 |
StepData_8 필드에서 가져온 값입니다. |
| StepData_9 | principal.user.userid | src_user_id 및 User 필드가 비어 있는 경우 StepData_9 필드에서 가져온 값입니다. |
| target_host | target.asset.hostname | target_host 필드에서 가져온 값입니다. |
| target_host | target.hostname | target_host 필드에서 가져온 값입니다. |
| 타임스탬프 | metadata.event_timestamp | 추가 공백을 삭제하고 날짜를 파싱한 후 타임스탬프 필드에서 가져온 값입니다. |
| TotalAuthenLatency | additional.fields.key = TotalAuthenLatency, value = TotalAuthenLatency |
TotalAuthenLatency 필드에서 가져온 값입니다. |
| ts | metadata.event_timestamp | 날짜를 파싱한 후 ts 필드에서 가져온 값입니다. |
| 유형 | security_result.category_details | 유형 필드에서 가져온 값입니다. |
| 사용자 | principal.user.userid | src_user_id가 비어 있으면 사용자 필드에서 가져온 값입니다. |
| UserType | additional.fields.key = UserType, value = UserType |
UserType 필드에서 가져온 값입니다. |
| metadata.vendor_name | CISCO로 설정합니다. |
|
| metadata.product_name | CISCO_IOS로 설정합니다. |
|
| metadata.log_type | CISCO_IOS로 설정합니다. |
변경사항
2025-02-11
개선사항:
- 새 syslog 로그 형식에 대한 지원이 추가되었습니다.
2025-01-23
개선사항:
- 새 syslog 로그 형식에 대한 지원이 추가되었습니다.
2025-01-02
개선사항:
- 새 syslog 로그 형식에 대한 지원이 추가되었습니다.
2024-12-27
개선사항:
- 새 syslog 로그 형식에 대한 지원이 추가되었습니다.
2024-11-25
개선사항:
- 새 로그를 파싱하는 Grok 패턴을 추가했습니다.
- syslog 헤더의 호스트 이름을
target.hostname에서intermediary.hostname로 매핑했습니다.
2024-11-19
개선사항:
- 새 형식의 syslog 로그에 대한 지원이 추가되었습니다.
2024-10-28
개선사항:
- 새 로그를 파싱하는 Grok 패턴을 추가했습니다.
2024-10-24
개선사항:
- 새 로그를 파싱하는 Grok 패턴을 추가했습니다.
2024-10-01
개선사항:
- 새 로그를 파싱하는 Grok 패턴을 추가했습니다.
2024-07-04
개선사항:
- syslog 로그의 새로운 패턴 지원을 추가했습니다.
2024-04-02
개선사항:
- 새 로그 유형을 파싱하는 새로운 Grok 패턴을 추가했습니다.
- 새 필드를 해당 UDM 필드에 매핑했습니다.
2023-10-04
개선사항:
- 새 로그 유형을 파싱하는 새로운 Grok 패턴을 추가했습니다.
source_facility를principal.hostname에 매핑했습니다.
2023-08-11
개선사항:
- 메시지에
HOST=이 포함된 경우intermediary.ip를 매핑했습니다. - 메시지에
User:이 포함된 경우principal.user.userid를 매핑했습니다. - 메시지에
command:이 포함된 경우principal.process.command_line를 매핑했습니다. - 메시지에
username이 포함된 경우target.user.userid를 매핑했습니다. metadata.event_type를 더 구체적인metadata.event_type에 매핑했습니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.