Recopilar registros de Cisco IronPort

Disponible en:

En este documento se explica cómo ingerir registros de Cisco IronPort en Google Security Operations mediante Bindplane. El analizador extrae campos de los mensajes syslog, concretamente los relacionados con los eventos AccessLogs_chron. Usa patrones grok para analizar el mensaje, convierte los tipos de datos y asigna los campos extraídos al modelo de datos unificado (UDM), gestionando varios campos específicos de Cisco Ironport, como los grupos de políticas y las decisiones de acceso. También realiza una gestión básica de errores y define campos de metadatos, como el nombre del proveedor y del producto.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Acceso privilegiado a Cisco IronPort

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.
    • Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Cisco IronPort

  1. Inicia sesión en la interfaz de usuario web de Cisco IronPort.
  2. Haz clic en Administración del sistema > Suscripciones de registro.
  3. Haz clic en Añadir suscripción de registro.
  4. Proporcione los siguientes detalles de configuración:
    • Tipo de registro: selecciona Registros de acceso u otros registros que quieras exportar.
    • Estilo de registro: selecciona Squid.
    • Nombre de archivo: indica un nombre de archivo si no se ha proporcionado de forma predeterminada.
    • Método de obtención: selecciona Envío de Syslog (usa el puerto predeterminado 514).
    • Nombre de host: introduce la dirección IP del agente de Bindplane.
    • Protocolo: selecciona UDP.
    • Instalación: selecciona local0 o syslog.
  5. Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccessLogs_chron metadata.product_event_type Se asigna directamente desde el campo product_event extraído por el primer analizador grok.
acl_decision_tag security_result.detection_fields.key El valor es "Etiqueta de decisión de LCA". La lógica del analizador define este valor cuando acl_decision_tag está presente en los registros.
acl_decision_tag security_result.detection_fields.value Se asigna directamente desde el campo acl_decision_tag extraído por el segundo analizador grok.
access_or_decryption_policy_group security_result.detection_fields.key El valor es "AccessOrDecryptionPolicyGroup". La lógica del analizador define este valor cuando access_or_decryption_policy_group está presente en los registros.
access_or_decryption_policy_group security_result.detection_fields.value Se asigna directamente desde el campo access_or_decryption_policy_group extraído por el segundo analizador grok.
authenticated_user principal.user.userid Se extrae del campo authenticated_user mediante grok y gsub para quitar las barras invertidas y las comillas.
cache_hierarchy_retrieval security_result.detection_fields.key El valor es "Cache Hierarchy Retrieval". La lógica del analizador define este valor cuando cache_hierarchy_retrieval está presente en los registros.
cache_hierarchy_retrieval security_result.detection_fields.value Se asigna directamente desde el campo cache_hierarchy_retrieval extraído por el segundo analizador grok.
data_security_policy_group security_result.detection_fields.key El valor es "DataSecurityPolicyGroup". La lógica del analizador define este valor cuando data_security_policy_group está presente en los registros.
data_security_policy_group security_result.detection_fields.value Se asigna directamente desde el campo data_security_policy_group extraído por el segundo analizador grok.
external_dlp_policy_group security_result.detection_fields.key El valor es "ExternalDlpPolicyGroup". La lógica del analizador define este valor cuando external_dlp_policy_group está presente en los registros.
external_dlp_policy_group security_result.detection_fields.value Se asigna directamente desde el campo external_dlp_policy_group extraído por el segundo analizador grok.
hostname principal.asset.hostname Se asigna directamente desde el campo hostname extraído por el primer analizador grok.
hostname principal.hostname Se asigna directamente desde el campo hostname extraído por el primer analizador grok.
http_method network.http.method Se asigna directamente desde el campo http_method extraído por el segundo analizador grok.
http_response_code network.http.response_code Se asigna directamente desde el campo http_response_code extraído por el segundo analizador grok y se convierte en un número entero.
identity_policy_group security_result.detection_fields.key El valor es "IdentityPolicyGroup". La lógica del analizador define este valor cuando identity_policy_group está presente en los registros.
identity_policy_group security_result.detection_fields.value Se asigna directamente desde el campo identity_policy_group extraído por el segundo analizador grok. Se copia del campo timestamp después de que el filtro de fecha lo procese. Se debe asignar el valor "STATUS_UPDATE" si has_principal es true; de lo contrario, se debe asignar el valor "GENERIC_EVENT". Valor constante: "Cisco Ironport". Valor constante: "Cisco".
outbound_malware_scanning_policy_group security_result.detection_fields.key El valor es "OutboundMalwareScanningPolicyGroupS". La lógica del analizador define este valor cuando outbound_malware_scanning_policy_group está presente en los registros.
outbound_malware_scanning_policy_group security_result.detection_fields.value Se asigna directamente desde el campo outbound_malware_scanning_policy_group extraído por el segundo analizador grok.
request_method_uri target.url Se asigna directamente desde el campo request_method_uri extraído por el segundo analizador grok.
result_code security_result.detection_fields.key El valor es "Result Code". La lógica del analizador define este valor cuando result_code está presente en los registros.
result_code security_result.detection_fields.value Se asigna directamente desde el campo result_code extraído por el segundo analizador grok.
routing_policy_group security_result.detection_fields.key El valor es "RoutingPolicyGroup". La lógica del analizador define este valor cuando routing_policy_group está presente en los registros.
routing_policy_group security_result.detection_fields.value Se asigna directamente desde el campo routing_policy_group extraído por el segundo analizador grok.
severity security_result.severity Asignado desde el campo severity. Si el valor es "Info", se asigna el valor "INFORMATIONAL".
source_ip principal.asset.ip Se asigna directamente desde el campo source_ip extraído por el segundo analizador grok.
source_ip principal.ip Se asigna directamente desde el campo source_ip extraído por el segundo analizador grok.
timestamp timestamp Se extrae del campo message mediante grok y, a continuación, se analiza con el filtro de fecha.
total_bytes network.sent_bytes Se asigna directamente desde el campo total_bytes extraído por el segundo analizador grok y se convierte en un entero sin signo. Solo se asigna si no está vacío o es "0".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.