Recopila registros de Cisco IronPort

Compatible con:

En este documento, se explica cómo transferir registros de Cisco IronPort a Google Security Operations con Bindplane. El analizador extrae campos de los mensajes de syslog, específicamente los relacionados con los eventos AccessLogs_chron. Utiliza patrones de Grok para analizar el mensaje, convierte los tipos de datos y asigna los campos extraídos al modelo de datos unificado (UDM), y controla varios campos específicos de Cisco Ironport, como los grupos de políticas y las decisiones de acceso. También realiza el manejo de errores básico y establece campos de metadatos, como el nombre del proveedor y del producto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Acceso privilegiado a Cisco IronPort

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia.
    • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindpolane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Cisco IronPort

  1. Accede a la IU web de Cisco IronPort.
  2. Haz clic en Administración del sistema > Suscripciones de registro.
  3. Haz clic en Agregar suscripción al registro.
  4. Proporciona los siguientes detalles de configuración:
    • Tipo de registro: Selecciona Registros de acceso o cualquier otro registro que desees exportar.
    • Log Style: Selecciona Squid.
    • Nombre de archivo: Proporciona un nombre de archivo si no se proporciona de forma predeterminada.
    • Método de recuperación: Selecciona Envío de Syslog (usa el puerto predeterminado 514).
    • Nombre de host: Ingresa la dirección IP del agente de BindPlane.
    • Protocolo: Selecciona UDP.
    • Instalación: Selecciona local0 o syslog.
  5. Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccessLogs_chron metadata.product_event_type Se asigna directamente desde el campo product_event que extrae el primer analizador de Grok.
acl_decision_tag security_result.detection_fields.key El valor es "ACL Decision Tag". La lógica del analizador establece este valor cuando acl_decision_tag está presente en los registros.
acl_decision_tag security_result.detection_fields.value Se asigna directamente desde el campo acl_decision_tag que extrae el segundo analizador de Grok.
access_or_decryption_policy_group security_result.detection_fields.key El valor es "AccessOrDecryptionPolicyGroup". La lógica del analizador establece este valor cuando access_or_decryption_policy_group está presente en los registros.
access_or_decryption_policy_group security_result.detection_fields.value Se asigna directamente desde el campo access_or_decryption_policy_group que extrae el segundo analizador de Grok.
authenticated_user principal.user.userid Se extrae del campo authenticated_user con grok y gsub para quitar las barras inversas y las comillas.
cache_hierarchy_retrieval security_result.detection_fields.key El valor es "Cache Hierarchy Retrieval". La lógica del analizador establece este valor cuando cache_hierarchy_retrieval está presente en los registros.
cache_hierarchy_retrieval security_result.detection_fields.value Se asigna directamente desde el campo cache_hierarchy_retrieval que extrae el segundo analizador de Grok.
data_security_policy_group security_result.detection_fields.key El valor es "DataSecurityPolicyGroup". La lógica del analizador establece este valor cuando data_security_policy_group está presente en los registros.
data_security_policy_group security_result.detection_fields.value Se asigna directamente desde el campo data_security_policy_group que extrae el segundo analizador de Grok.
external_dlp_policy_group security_result.detection_fields.key El valor es "ExternalDlpPolicyGroup". La lógica del analizador establece este valor cuando external_dlp_policy_group está presente en los registros.
external_dlp_policy_group security_result.detection_fields.value Se asigna directamente desde el campo external_dlp_policy_group que extrae el segundo analizador de Grok.
hostname principal.asset.hostname Se asigna directamente desde el campo hostname que extrae el primer analizador de Grok.
hostname principal.hostname Se asigna directamente desde el campo hostname que extrae el primer analizador de Grok.
http_method network.http.method Se asigna directamente desde el campo http_method que extrae el segundo analizador de Grok.
http_response_code network.http.response_code Se asigna directamente desde el campo http_response_code que extrae el segundo analizador de grok y se convierte en un número entero.
identity_policy_group security_result.detection_fields.key El valor es "IdentityPolicyGroup". La lógica del analizador establece este valor cuando identity_policy_group está presente en los registros.
identity_policy_group security_result.detection_fields.value Se asigna directamente desde el campo identity_policy_group que extrae el segundo analizador de Grok. Se copia del campo timestamp después de que el filtro de fecha lo procesa. Se establece en "STATUS_UPDATE" si has_principal es verdadero; de lo contrario, se establece en "GENERIC_EVENT". Valor de la constante: "Cisco Ironport". Valor de la constante: "Cisco".
outbound_malware_scanning_policy_group security_result.detection_fields.key El valor es "OutboundMalwareScanningPolicyGroupS". La lógica del analizador establece este valor cuando outbound_malware_scanning_policy_group está presente en los registros.
outbound_malware_scanning_policy_group security_result.detection_fields.value Se asigna directamente desde el campo outbound_malware_scanning_policy_group que extrae el segundo analizador de Grok.
request_method_uri target.url Se asigna directamente desde el campo request_method_uri que extrae el segundo analizador de Grok.
result_code security_result.detection_fields.key El valor es "Código de resultado". La lógica del analizador establece este valor cuando result_code está presente en los registros.
result_code security_result.detection_fields.value Se asigna directamente desde el campo result_code que extrae el segundo analizador de Grok.
routing_policy_group security_result.detection_fields.key El valor es "RoutingPolicyGroup". La lógica del analizador establece este valor cuando routing_policy_group está presente en los registros.
routing_policy_group security_result.detection_fields.value Se asigna directamente desde el campo routing_policy_group que extrae el segundo analizador de Grok.
severity security_result.severity Se asignó desde el campo severity. Si el valor es "Info", se establece como "INFORMATIONAL".
source_ip principal.asset.ip Se asigna directamente desde el campo source_ip que extrae el segundo analizador de Grok.
source_ip principal.ip Se asigna directamente desde el campo source_ip que extrae el segundo analizador de Grok.
timestamp timestamp Se extrae del campo message con grok y, luego, se analiza con el filtro de fecha.
total_bytes network.sent_bytes Se asigna directamente desde el campo total_bytes que extrae el segundo analizador de Grok y se convierte en un número entero sin signo. Solo se asigna si no está vacío o es "0".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.