Coletar registros do Cisco Prime

Este documento explica como ingerir registros do Cisco Prime no Google Security Operations usando o Bindplane. O analisador usa padrões Grok para extrair campos de vários formatos de mensagens syslog, mapeando-os para um modelo de dados unificado (UDM). Ele processa diferentes estruturas de registros, incluindo pares de chave-valor, e enriquece os dados com informações de usuário, principal, destino e segurança com base em palavras-chave e padrões específicos encontrados nas mensagens de registro.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Windows 2016 ou mais recente ou um host Linux com systemd
• Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Acesso privilegiado ao Cisco Prime

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:
   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'CISCO_PRIME'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID do cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar notificações de auditoria de mudanças e receptores syslog

1. É possível configurar o sistema para enviar notificações do syslog sobre auditorias de mudanças relacionadas aos seguintes eventos:

   • Atualizações do inventário de dispositivos
   • Alterações de configuração
   • Mudanças nos modelos de configuração
   • Operações relacionadas a modelos
   • Atividades do usuário, como logins, logouts e modificações na conta

2. Faça login na UI da Web do Cisco Prime.

3. Acesse Administração > Configurações > Configurações do sistema.

4. Selecione E-mail e notificação > Alterar notificação de auditoria.

5. Clique na caixa de seleção Ativar notificação de auditoria de mudanças.

6. Clique no botão + para especificar um servidor syslog.

7. Informe os seguintes detalhes de configuração:

   • Insira o endereço IP do agente do Bindplane.
   • Selecione o protocolo UDP.
   • Insira o número da porta do agente do Bindplane.

8. Clique em Salvar.

Configurar registros de auditoria do sistema de encaminhamento como syslog

1. Faça login na UI da Web do Cisco Prime.
2. Acesse Administração > Configurações > Registro > Opções de registro do Syslog.
3. Clique na caixa de seleção Ativar Syslog.
4. Informe os seguintes detalhes de configuração:
   • Insira o endereço IP do agente do Bindplane.
   • Selecione o protocolo UDP.
   • Insira o número da porta do agente do Bindplane.
   • Selecione uma das oito Unidades ou local0.
5. Clique em Salvar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.