Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cisco PIX

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cisco PIX no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens syslog do firewall usando expressões regulares (padrões grok) e lógica condicional. Em seguida, ele mapeia esses campos extraídos para o Modelo de dados unificado (UDM, na sigla em inglês), categorizando eventos como conexões de rede, atualizações de status ou eventos genéricos com base na presença de endereços IP de origem e destino.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Acesso privilegiado ao dispositivo Cisco PIX Firewall

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_PIX_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no firewall Cisco PIX

Faça login no seu dispositivo Cisco PIX usando SSH ou uma conexão de console.
Insira o seguinte para o modo privilegiado:
```
enable
```
Insira o seguinte comando para o modo de configuração:
```
conf t
```
Insira os comandos a seguir para ativar o registro e o carimbo de data/hora:
```
logging on
logging timestamp
```
Insira o comando a seguir para configurar o nível de registro:
```
logging trap information
```
Digite o comando a seguir para configurar informações do syslog:
```
logging host <interface> <bindplane_IP_address>
```
- Mude <interface> para a interface que tem acesso ao seu agente do Bindplane.
- Mude <bindplane_IP_address> para o endereço IP real do agente do Bindplane.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
datetime	metadata.event_timestamp.seconds	Converter o carimbo de data/hora extraído em segundos de época
datetime	metadata.event_timestamp.nanos	Converter o carimbo de data/hora extraído em nanossegundos de época
descrip	metadata.description	Mapeado diretamente do campo `descrip` extraído
observer_ip	observer.ip	Mapeado diretamente do campo `observer_ip` extraído
proto	network.ip_protocol	Mapeado diretamente do campo `proto` extraído após a conversão para maiúsculas. Só será mapeado se o valor for `UDP`, `TCP` ou `ICMP`.
src_ip	principal.ip	Mapeado diretamente do campo `src_ip` extraído
src_port	principal.port	Mapeado diretamente do campo `src_port` extraído após a conversão para número inteiro
residencial geriátrico	principal.resource.type	Mapeado diretamente do campo `facility` extraído
ação	security_result.action_details	Mapeado diretamente do campo `action` extraído
severity_level	security_result.severity	Mapeado com base no valor de `severity_level`: - 7, 6: INFORMATIVO - 5: BAIXA - 4: MÉDIA - 3: ERRO - 2: ALTA - Caso contrário: CRÍTICA
dest_ip	target.ip	Mapeado diretamente do campo `dest_ip` extraído
dest_port	target.port	Mapeado diretamente do campo `dest_port` extraído após a conversão para número inteiro
direção	network.direction	Mapeado para `INBOUND` se o campo `direction` for `inbound`
	metadata.event_timestamp.seconds	Valor extraído do campo de nível superior "create_time.seconds"
	metadata.event_timestamp.nanos	Valor extraído do campo de nível superior "create_time.nanos"
	metadata.event_type	Determinado com base na presença de src_ip e dest_ip: - Ambos presentes: NETWORK_CONNECTION - Somente src_ip presente: STATUS_UPDATE - Caso contrário: GENERIC_EVENT
	metadata.product_event_type	Concatenação dos campos `facility`, `-`, `severity_level`, `-` e `mnemonic`.
	metadata.product_name	Valor codificado: `CISCO_FWSM`
	metadata.vendor_name	Valor codificado: `CISCO`
	security_result.action	Mapeado para `BLOCK` se o campo `action` for um dos seguintes: `Deny`, `Teardown`, `denied` ou `Denied`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.