Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del router de Cisco

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de routers de Cisco a Google Security Operations con un agente de Bindplane. En primer lugar, el analizador extrae campos comunes de varios formatos de mensajes de syslog con una serie de patrones de Grok, y controla diferentes variaciones de datos de marcas de tiempo y de clave-valor. Luego, aplica una lógica específica según el tipo de evento extraído (facility, mnemonics, message_type), enriqueciendo los datos con campos adicionales y asignándolos al modelo de UDM.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a un router de Cisco.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CISCO_ROUTER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cómo configurar Syslog en un router Cisco

Accede al router de Cisco.
Para escalar los privilegios, ingresa el comando enable:
```
Switch> enable
Switch#
```
Para cambiar al modo de configuración, ingresa el comando conf t:
```
Switch# conf t
Switch(config)#
```
Ingresa los siguientes comandos:
```
logging host <bindplane-server-ip> transport <tcp/udp> port <port-number>
logging source-interface <interface>
```
- Reemplaza <bindplane-server-ip> por la dirección IP del agente de Bindplane y <port-number> por el puerto configurado.
- Reemplaza <tcp/udp> por el protocolo de escucha configurado en el agente de BindPlane, por ejemplo, udp.
- Reemplaza <interface> por el ID de la interfaz de Cisco; por ejemplo, Ethernet1/1.

Para establecer el nivel de prioridad, ingresa el siguiente comando:

logging trap Informational 
logging console Informational 
logging severity Informational

Establece la instalación de syslog:
```
logging facility local6
```
Para habilitar las marcas de tiempo, ingresa el siguiente comando:
```
service timestamps log datetime
```
Guarda y cierra.
Para configurar los parámetros de configuración de modo que se conserven después de reiniciar, ingresa el siguiente comando:
```
copy running-config startup-config
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`client_ip`	target.ip, target.asset.ip	El valor se toma del campo `client_ip` que extrae el analizador de grok.
`client_mac`	target.mac	El valor se toma del campo `client_mac` que extrae el analizador de grok.
`dst_ip`	target.ip, target.asset.ip	El valor se toma del campo `dst_ip` que extrae el analizador de grok.
`dst_port`	target.port	El valor se toma del campo `dst_port` que extrae el analizador de grok y se convierte en un número entero.
`duration`	-	Este campo no se asigna al UDM.
`host_ip`	target.ip, target.asset.ip	El valor se toma del campo `host_ip` que extrae el analizador de grok.
`local_proxy`	intermediary.ip	El valor se toma del campo `local_proxy` que extrae el analizador de grok.
`message_data`	metadata.description	El valor se toma del campo `message_data` que extrae el analizador de grok.
`protocol`	network.ip_protocol	El valor se toma del campo `protocol` que extrae el analizador de grok y se convierte a mayúsculas.
`received_bytes`	network.received_bytes	El valor se toma del campo `received_bytes` que extrae el analizador de grok y se convierte en un número entero sin signo.
`referral_url`	network.http.referral_url	El valor se toma del campo `referral_url` que extrae el analizador de grok.
`remote_proxy`	intermediary.ip	El valor se toma del campo `remote_proxy` que extrae el analizador de grok.
`send_bytes`	network.sent_bytes	El valor se toma del campo `send_bytes` que extrae el analizador de grok y se convierte en un número entero sin signo.
`sent_bytes`	network.sent_bytes	El valor se toma del campo `sent_bytes` que extrae el analizador de grok y se convierte en un número entero sin signo.
`server_host`	target.hostname, target.asset.hostname	El valor se toma del campo `server_host` que extrae el analizador de grok.
`server_ip`	target.ip, target.asset.ip	El valor se toma del campo `server_ip` que extrae el analizador de grok.
`src_ip`	principal.ip, principal.asset.ip	El valor se toma del campo `src_ip` que extrae el analizador de grok.
`src_port`	principal.port	El valor se toma del campo `src_port` que extrae el analizador de grok y se convierte en un número entero.
`user_ip`	target.ip, target.asset.ip	El valor se toma del campo `user_ip` que extrae el analizador de grok.
`user_mail`	principal.user.userid, principal.user.email_addresses	El valor se toma del campo `user_mail` que extrae el analizador de grok.
`username`	target.user.userid	El valor se toma del campo `username` que extrae el analizador de grok.
-	metadata.event_timestamp	El valor se toma del campo `create_time`.
-	metadata.event_type	El valor se establece en `GENERIC_EVENT` de forma predeterminada y se cambia a tipos de eventos específicos según el mensaje de registro analizado.
-	metadata.log_type	El valor se establece en `CISCO_ROUTER`.
-	metadata.product_event_type	El valor se toma del campo `message_type`, que se genera combinando los campos `facility`, `priority` y `mnemonics`.
-	metadata.product_name	El valor se establece en `Router`.
-	metadata.vendor_name	El valor se establece en `Cisco`.
-	network.application_protocol	El valor se establece en `HTTP` o `HTTPS` si el campo `protocol` es `http` o `https`, respectivamente.
-	extensions.auth.type	El valor se establece en `AUTHTYPE_UNSPECIFIED` de forma predeterminada y se cambia a tipos de autenticación específicos según el mensaje de registro analizado.
-	security_result.action	El valor se establece en `ALLOW` para los accesos exitosos y en `BLOCK` para los accesos fallidos.
-	security_result.category	El valor se establece en `NETWORK_SUSPICIOUS` para los eventos con opciones de IP y en `AUTH_VIOLATION` para los intentos de acceso fallidos.
-	security_result.description	El valor se establece en mensajes específicos para diferentes eventos.
-	security_result.severity	El valor se establece en `LOW` para los accesos exitosos, `MEDIUM` para los accesos fallidos y `INFORMATIONAL` para otros eventos.
-	security_result.severity_details	El valor se toma del campo `fail_reason` para los accesos fallidos y se establece en `Informational message` para los eventos con opciones de IP.
-	security_result.summary	El valor se establece en mensajes específicos para diferentes eventos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.