Diese Seite wurde von der Cloud Translation API übersetzt.

Cisco PIX-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco PIX-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Firewall-Syslog-Nachrichten mithilfe von regulären Ausdrücken (Grok-Mustern) und bedingter Logik. Anschließend werden diese extrahierten Felder dem Unified Data Model (UDM) zugeordnet und Ereignisse werden anhand der Quell- und Ziel-IP-Adressen als Netzwerkverbindungen, Statusaktualisierungen oder allgemeine Ereignisse kategorisiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Privilegierter Zugriff auf die Cisco PIX Firewall-Appliance

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_PIX_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf der Cisco PIX-Firewall konfigurieren

Melden Sie sich über SSH oder eine Konsolenverbindung auf Ihrer Cisco PIX-Appliance an.
Geben Sie für den privilegierten Modus Folgendes ein:
```
enable
```
Geben Sie den folgenden Befehl für den Konfigurationsmodus ein:
```
conf t
```
Geben Sie die folgenden Befehle ein, um das Logging und den Zeitstempel zu aktivieren:
```
logging on
logging timestamp
```
Geben Sie den folgenden Befehl ein, um den Log-Level zu konfigurieren:
```
logging trap information
```
Geben Sie den folgenden Befehl ein, um Syslog-Informationen zu konfigurieren:
```
logging host <interface> <bindplane_IP_address>
```
- Ändern Sie <interface> in die Schnittstelle, die Zugriff auf Ihren Bindplane-Agent hat.
- Ersetzen Sie <bindplane_IP_address> durch die tatsächliche IP-Adresse Ihres Bindplane-Agents.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Datum/Uhrzeit	metadata.event_timestamp.seconds	Extrahierte Zeitstempel in Epoch-Sekunden umwandeln
Datum/Uhrzeit	metadata.event_timestamp.nanos	Extrahierte Zeitstempel in Epochen-Nanosekunden umwandeln
descrip	metadata.description	Direkt aus dem extrahierten Feld `descrip` zugeordnet
observer_ip	observer.ip	Direkt aus dem extrahierten Feld `observer_ip` zugeordnet
Proto	network.ip_protocol	Direkt aus dem extrahierten Feld `proto` abgeleitet, nachdem es in Großbuchstaben umgewandelt wurde. Wird nur zugeordnet, wenn der Wert `UDP`, `TCP` oder `ICMP` ist.
src_ip	principal.ip	Direkt aus dem extrahierten Feld `src_ip` zugeordnet
src_port	principal.port	Direkt aus dem extrahierten Feld `src_port` zugeordnet, nachdem es in eine Ganzzahl konvertiert wurde
Einrichtung	principal.resource.type	Direkt aus dem extrahierten Feld `facility` zugeordnet
Aktion	security_result.action_details	Direkt aus dem extrahierten Feld `action` zugeordnet
severity_level	security_result.severity	Wird basierend auf dem Wert von `severity_level` zugeordnet: – 7, 6: INFORMATIONAL – 5: LOW – 4: MEDIUM – 3: ERROR – 2: HIGH – Andernfalls: CRITICAL
dest_ip	target.ip	Direkt aus dem extrahierten Feld `dest_ip` zugeordnet
dest_port	target.port	Direkt aus dem extrahierten Feld `dest_port` zugeordnet, nachdem es in eine Ganzzahl konvertiert wurde
direction	network.direction	Zugeordnet zu `INBOUND`, wenn das Feld `direction` den Wert `inbound` hat
	metadata.event_timestamp.seconds	Wert aus dem Feld „create_time.seconds“ auf oberster Ebene
	metadata.event_timestamp.nanos	Wert aus dem Feld „create_time.nanos“ auf oberster Ebene
	metadata.event_type	Wird anhand des Vorhandenseins von „src_ip“ und „dest_ip“ bestimmt: – Beide vorhanden: NETWORK_CONNECTION – Nur „src_ip“ vorhanden: STATUS_UPDATE – Andernfalls: GENERIC_EVENT
	metadata.product_event_type	Verkettung der Felder `facility`, `-`, `severity_level`, `-` und `mnemonic`.
	metadata.product_name	Fest codierter Wert: `CISCO_FWSM`
	metadata.vendor_name	Fest codierter Wert: `CISCO`
	security_result.action	Wird `BLOCK` zugeordnet, wenn das Feld `action` einen der folgenden Werte hat: `Deny`, `Teardown`, `denied` oder `Denied`.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten