このページは Cloud Translation API によって翻訳されました。

Cisco IronPort のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Cisco IronPort ログを Google Security Operations に取り込む方法について説明します。パーサーは、syslog メッセージからフィールド（特に AccessLogs_chron イベントに関連するフィールド）を抽出します。grok パターンを使用してメッセージを解析し、データ型を変換して、抽出されたフィールドを統合データモデル（UDM）にマッピングします。ポリシーグループやアクセス権判定など、さまざまな Cisco Ironport 固有のフィールドを処理します。また、基本的なエラー処理を実行し、ベンダーやプロダクト名などのメタデータフィールドを設定します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Cisco IronPort への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindpolane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cisco IronPort で Syslog を構成する

Cisco IronPort ウェブ UI にログインします。
[システム管理>ログサブスクリプション] をクリックします。
[ログサブスクリプションを追加] をクリックします。
次の構成の詳細を入力します。
- ログタイプ: エクスポートするログとして [アクセスログ] またはその他のログを選択します。
- ログスタイル: [Squid] を選択します。
- ファイル名: デフォルトで指定されていない場合は、ファイル名を指定します。
- 取得方法: [Syslog Push] を選択します（デフォルトのポート 514 を使用します）。
- ホスト名: Bindplane エージェントの IP アドレスを入力します。
- プロトコル: UDP を選択します。
- ファシリティ: local0 または syslog を選択します。
[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`AccessLogs_chron`	`metadata.product_event_type`	最初の Grok パーサーによって抽出された `product_event` フィールドから直接マッピングされます。
`acl_decision_tag`	`security_result.detection_fields.key`	値は「ACL Decision Tag」です。パーサーロジックは、ログに `acl_decision_tag` が存在する場合にこの値を設定します。
`acl_decision_tag`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `acl_decision_tag` フィールドから直接マッピングされます。
`access_or_decryption_policy_group`	`security_result.detection_fields.key`	値は「AccessOrDecryptionPolicyGroup」です。パーサーロジックは、ログに `access_or_decryption_policy_group` が存在する場合にこの値を設定します。
`access_or_decryption_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `access_or_decryption_policy_group` フィールドから直接マッピングされます。
`authenticated_user`	`principal.user.userid`	Grok と gsub を使用して `authenticated_user` フィールドから抽出され、バックスラッシュと引用符が削除されます。
`cache_hierarchy_retrieval`	`security_result.detection_fields.key`	値は「Cache Hierarchy Retrieval」です。パーサーロジックは、ログに `cache_hierarchy_retrieval` が存在する場合にこの値を設定します。
`cache_hierarchy_retrieval`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `cache_hierarchy_retrieval` フィールドから直接マッピングされます。
`data_security_policy_group`	`security_result.detection_fields.key`	値は「DataSecurityPolicyGroup」です。パーサーロジックは、ログに `data_security_policy_group` が存在する場合にこの値を設定します。
`data_security_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `data_security_policy_group` フィールドから直接マッピングされます。
`external_dlp_policy_group`	`security_result.detection_fields.key`	値は「ExternalDlpPolicyGroup」です。パーサーロジックは、ログに `external_dlp_policy_group` が存在する場合にこの値を設定します。
`external_dlp_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `external_dlp_policy_group` フィールドから直接マッピングされます。
`hostname`	`principal.asset.hostname`	最初の Grok パーサーによって抽出された `hostname` フィールドから直接マッピングされます。
`hostname`	`principal.hostname`	最初の Grok パーサーによって抽出された `hostname` フィールドから直接マッピングされます。
`http_method`	`network.http.method`	2 番目の Grok パーサーによって抽出された `http_method` フィールドから直接マッピングされます。
`http_response_code`	`network.http.response_code`	2 番目の Grok パーサーによって抽出された `http_response_code` フィールドから直接マッピングされ、整数に変換されます。
`identity_policy_group`	`security_result.detection_fields.key`	値は「IdentityPolicyGroup」です。パーサーロジックは、ログに `identity_policy_group` が存在する場合にこの値を設定します。
`identity_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `identity_policy_group` フィールドから直接マッピングされます。日付フィルタで処理された後の `timestamp` フィールドからコピーされます。`has_principal` が true の場合は「STATUS_UPDATE」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。定数値: 「Cisco Ironport」。定数値: 「Cisco」。
`outbound_malware_scanning_policy_group`	`security_result.detection_fields.key`	値は「OutboundMalwareScanningPolicyGroupS」です。パーサーロジックは、ログに `outbound_malware_scanning_policy_group` が存在する場合にこの値を設定します。
`outbound_malware_scanning_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `outbound_malware_scanning_policy_group` フィールドから直接マッピングされます。
`request_method_uri`	`target.url`	2 番目の Grok パーサーによって抽出された `request_method_uri` フィールドから直接マッピングされます。
`result_code`	`security_result.detection_fields.key`	値は「Result Code」です。パーサーロジックは、ログに `result_code` が存在する場合にこの値を設定します。
`result_code`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `result_code` フィールドから直接マッピングされます。
`routing_policy_group`	`security_result.detection_fields.key`	値は「RoutingPolicyGroup」です。パーサーロジックは、ログに `routing_policy_group` が存在する場合にこの値を設定します。
`routing_policy_group`	`security_result.detection_fields.value`	2 番目の Grok パーサーによって抽出された `routing_policy_group` フィールドから直接マッピングされます。
`severity`	`security_result.severity`	`severity` フィールドからマッピングされます。値が「Info」の場合、「INFORMATIONAL」に設定されます。
`source_ip`	`principal.asset.ip`	2 番目の Grok パーサーによって抽出された `source_ip` フィールドから直接マッピングされます。
`source_ip`	`principal.ip`	2 番目の Grok パーサーによって抽出された `source_ip` フィールドから直接マッピングされます。
`timestamp`	`timestamp`	grok を使用して `message` フィールドから抽出され、日付フィルタを使用して解析されます。
`total_bytes`	`network.sent_bytes`	2 番目の Grok パーサーによって抽出された `total_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。空でないか「0」でない場合にのみマッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。