收集 Cisco IronPort 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Cisco IronPort 日志注入到 Google Security Operations。解析器从 syslog 消息中提取字段,尤其是与 AccessLogs_chron 事件相关的字段。它使用 Grok 模式解析消息、转换数据类型,并将提取的字段映射到统一数据模型 (UDM),从而处理各种 Cisco Ironport 特有的字段,例如政策组和访问权限判定。它还执行基本的错误处理,并设置供应商和产品名称等元数据字段。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口处于开放状态
  • Cisco IronPort 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件
    • 将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindpolane 代理以接收 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 根据基础架构的需要替换端口和 IP 地址。
    • <customer_id> 替换为实际的客户 ID。
    • /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Cisco IronPort 上配置 Syslog

  1. 登录 Cisco IronPort 网页界面。
  2. 依次点击系统管理 > 日志订阅
  3. 点击 Add Log Subscription
  4. 提供以下配置详细信息:
    • 日志类型:选择访问日志或您要导出的其他日志。
    • 日志样式:选择 Squid
    • 文件名:提供文件名(如果未默认提供)。
    • 检索方法:选择 Syslog Push(使用默认端口 514)。
    • 主机名:输入 Bindplane 代理 IP 地址。
    • 协议:选择 UDP。
    • 设施:选择 local0syslog
  5. 点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AccessLogs_chron metadata.product_event_type 直接从第一个 Grok 解析器提取的 product_event 字段映射。
acl_decision_tag security_result.detection_fields.key 值为“ACL Decision Tag”。当日志中存在 acl_decision_tag 时,解析器逻辑会设置此值。
acl_decision_tag security_result.detection_fields.value 直接从第二个 grok 解析器提取的 acl_decision_tag 字段映射。
access_or_decryption_policy_group security_result.detection_fields.key 值为“AccessOrDecryptionPolicyGroup”。当日志中存在 access_or_decryption_policy_group 时,解析器逻辑会设置此值。
access_or_decryption_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 access_or_decryption_policy_group 字段映射。
authenticated_user principal.user.userid 使用 grok 和 gsub 从 authenticated_user 字段中提取,以移除反斜杠和引号。
cache_hierarchy_retrieval security_result.detection_fields.key 值为“Cache Hierarchy Retrieval”。当日志中存在 cache_hierarchy_retrieval 时,解析器逻辑会设置此值。
cache_hierarchy_retrieval security_result.detection_fields.value 直接从第二个 grok 解析器提取的 cache_hierarchy_retrieval 字段映射。
data_security_policy_group security_result.detection_fields.key 值为“DataSecurityPolicyGroup”。当日志中存在 data_security_policy_group 时,解析器逻辑会设置此值。
data_security_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 data_security_policy_group 字段映射。
external_dlp_policy_group security_result.detection_fields.key 值为“ExternalDlpPolicyGroup”。当日志中存在 external_dlp_policy_group 时,解析器逻辑会设置此值。
external_dlp_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 external_dlp_policy_group 字段映射。
hostname principal.asset.hostname 直接从第一个 Grok 解析器提取的 hostname 字段映射。
hostname principal.hostname 直接从第一个 Grok 解析器提取的 hostname 字段映射。
http_method network.http.method 直接从第二个 grok 解析器提取的 http_method 字段映射。
http_response_code network.http.response_code 直接从第二个 Grok 解析器提取的 http_response_code 字段映射,并转换为整数。
identity_policy_group security_result.detection_fields.key 值为“IdentityPolicyGroup”。当日志中存在 identity_policy_group 时,解析器逻辑会设置此值。
identity_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 identity_policy_group 字段映射。在日期过滤器处理后,从 timestamp 字段复制。如果 has_principal 为 true,则设置为“STATUS_UPDATE”,否则设置为“GENERIC_EVENT”。常量值:“Cisco Ironport”。常量值:“Cisco”。
outbound_malware_scanning_policy_group security_result.detection_fields.key 值为“OutboundMalwareScanningPolicyGroupS”。当日志中存在 outbound_malware_scanning_policy_group 时,解析器逻辑会设置此值。
outbound_malware_scanning_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 outbound_malware_scanning_policy_group 字段映射。
request_method_uri target.url 直接从第二个 grok 解析器提取的 request_method_uri 字段映射。
result_code security_result.detection_fields.key 值为“结果代码”。当日志中存在 result_code 时,解析器逻辑会设置此值。
result_code security_result.detection_fields.value 直接从第二个 grok 解析器提取的 result_code 字段映射。
routing_policy_group security_result.detection_fields.key 值为“RoutingPolicyGroup”。当日志中存在 routing_policy_group 时,解析器逻辑会设置此值。
routing_policy_group security_result.detection_fields.value 直接从第二个 grok 解析器提取的 routing_policy_group 字段映射。
severity security_result.severity severity 字段映射。如果值为“Info”,则设置为“INFORMATIONAL”。
source_ip principal.asset.ip 直接从第二个 grok 解析器提取的 source_ip 字段映射。
source_ip principal.ip 直接从第二个 grok 解析器提取的 source_ip 字段映射。
timestamp timestamp 使用 grok 从 message 字段中提取,然后使用日期过滤条件进行解析。
total_bytes network.sent_bytes 直接从第二个 grok 解析器提取的 total_bytes 字段映射,并转换为无符号整数。仅当不为空或不为“0”时才进行映射。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。