このページは Cloud Translation API によって翻訳されました。

Cisco PIX ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Cisco PIX ログを Google Security Operations に取り込む方法について説明します。パーサーは、正規表現（grok パターン）と条件ロジックを使用して、ファイアウォール syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドを統合データモデル（UDM）にマッピングし、送信元と宛先の IP アドレスの有無に基づいて、イベントをネットワーク接続、ステータス更新、汎用イベントとして分類します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Cisco PIX Firewall アプライアンスへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_PIX_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cisco PIX Firewall で Syslog を構成する

SSH またはコンソール接続を使用して Cisco PIX アプライアンスにログインします。
特権モードに次のように入力します。
```
enable
```
構成モードで次のコマンドを入力します。
```
conf t
```
次のコマンドを入力して、ロギングとタイムスタンプを有効にします。
```
logging on
logging timestamp
```
次のコマンドを入力して、ログレベルを構成します。
```
logging trap information
```
次のコマンドを入力して、syslog 情報を構成します。
```
logging host <interface> <bindplane_IP_address>
```
- <interface> は、Bindplane エージェントにアクセスできるインターフェースに変更します。
- <bindplane_IP_address> は、実際の Bindplane エージェントの IP アドレスに変更します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
datetime	metadata.event_timestamp.seconds	抽出したタイムスタンプをエポック秒に変換する
datetime	metadata.event_timestamp.nanos	抽出したタイムスタンプをエポックナノ秒に変換する
descrip	metadata.description	抽出された `descrip` フィールドから直接マッピングされます
observer_ip	observer.ip	抽出された `observer_ip` フィールドから直接マッピングされます
proto	network.ip_protocol	抽出された `proto` フィールドから直接マッピングされ、大文字に変換されます。値が `UDP`、`TCP`、`ICMP` のいずれかの場合にのみマッピングされます。
src_ip	principal.ip	抽出された `src_ip` フィールドから直接マッピングされます
src_port	principal.port	抽出された `src_port` フィールドから直接マッピングされ、整数に変換されます。
facility	principal.resource.type	抽出された `facility` フィールドから直接マッピングされます
アクション	security_result.action_details	抽出された `action` フィールドから直接マッピングされます
severity_level	security_result.severity	`severity_level` の値に基づいてマッピングされます。 - 7、6: INFORMATIONAL - 5: LOW - 4: MEDIUM - 3: ERROR - 2: HIGH - その他: CRITICAL
dest_ip	target.ip	抽出された `dest_ip` フィールドから直接マッピングされます
dest_port	target.port	抽出された `dest_port` フィールドから直接マッピングされ、整数に変換されます。
direction	network.direction	`direction` フィールドが `inbound` の場合、`INBOUND` にマッピングされます
	metadata.event_timestamp.seconds	最上位の「create_time.seconds」フィールドから取得された値
	metadata.event_timestamp.nanos	最上位の「create_time.nanos」フィールドから取得された値
	metadata.event_type	src_ip と dest_ip の有無に基づいて決定されます。 - 両方存在する場合: NETWORK_CONNECTION - src_ip のみ存在する場合: STATUS_UPDATE - それ以外の場合: GENERIC_EVENT
	metadata.product_event_type	`facility`、`-`、`severity_level`、`-`、`mnemonic` フィールドの連結。
	metadata.product_name	ハードコードされた値: `CISCO_FWSM`
	metadata.vendor_name	ハードコードされた値: `CISCO`
	security_result.action	`action` フィールドが `Deny`、`Teardown`、`denied`、`Denied` のいずれかの場合、`BLOCK` にマッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。