Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del router Cisco

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log del router Cisco in Google Security Operations utilizzando un agente Bindplane. Il parser estrae innanzitutto i campi comuni da vari formati di messaggi syslog utilizzando una serie di pattern Grok, gestendo diverse varianti di timestamp e dati chiave-valore. Dopodiché, applica una logica specifica in base al tipo di evento estratto (struttura, mnemonici, message_type), arricchendo i dati con campi aggiuntivi e mappandoli al modello UDM.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a un router Cisco.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CISCO_ROUTER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog su un router Cisco

Accedi al router Cisco.
Aumenta i privilegi inserendo il comando enable:
```
Switch> enable
Switch#
```
Passa alla modalità di configurazione inserendo il comando conf t:
```
Switch# conf t
Switch(config)#
```
Inserisci i seguenti comandi:
```
logging host <bindplane-server-ip> transport <tcp/udp> port <port-number>
logging source-interface <interface>
```
- Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane e <port-number> con la porta configurata.
- Sostituisci <tcp/udp> con il protocollo di ascolto configurato nell'agente Bindplane, ad esempio udp.
- Sostituisci <interface> con l'ID interfaccia Cisco, ad esempio Ethernet1/1.

Imposta il livello di priorità inserendo il seguente comando:

logging trap Informational 
logging console Informational 
logging severity Informational

Imposta la struttura syslog:
```
logging facility local6
```
Attiva i timestamp inserendo il seguente comando:
```
service timestamps log datetime
```
Salva ed esci.
Configura le impostazioni in modo che vengano mantenute dopo il riavvio inserendo il seguente comando:
```
copy running-config startup-config
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`client_ip`	target.ip, target.asset.ip	Il valore viene estratto dal campo `client_ip` dal parser grok.
`client_mac`	target.mac	Il valore viene estratto dal campo `client_mac` dal parser grok.
`dst_ip`	target.ip, target.asset.ip	Il valore viene estratto dal campo `dst_ip` dal parser grok.
`dst_port`	target.port	Il valore viene estratto dal campo `dst_port` dal parser grok e convertito in un numero intero.
`duration`	-	Questo campo non è mappato a UDM.
`host_ip`	target.ip, target.asset.ip	Il valore viene estratto dal campo `host_ip` dal parser grok.
`local_proxy`	intermediary.ip	Il valore viene estratto dal campo `local_proxy` dal parser grok.
`message_data`	metadata.description	Il valore viene estratto dal campo `message_data` dal parser grok.
`protocol`	network.ip_protocol	Il valore viene estratto dal campo `protocol` dal parser grok e convertito in maiuscolo.
`received_bytes`	network.received_bytes	Il valore viene estratto dal campo `received_bytes` dal parser grok e convertito in un numero intero senza segno.
`referral_url`	network.http.referral_url	Il valore viene estratto dal campo `referral_url` dal parser grok.
`remote_proxy`	intermediary.ip	Il valore viene estratto dal campo `remote_proxy` dal parser grok.
`send_bytes`	network.sent_bytes	Il valore viene estratto dal campo `send_bytes` dal parser grok e convertito in un numero intero senza segno.
`sent_bytes`	network.sent_bytes	Il valore viene estratto dal campo `sent_bytes` dal parser grok e convertito in un numero intero senza segno.
`server_host`	target.hostname, target.asset.hostname	Il valore viene estratto dal campo `server_host` dal parser grok.
`server_ip`	target.ip, target.asset.ip	Il valore viene estratto dal campo `server_ip` dal parser grok.
`src_ip`	principal.ip, principal.asset.ip	Il valore viene estratto dal campo `src_ip` dal parser grok.
`src_port`	principal.port	Il valore viene estratto dal campo `src_port` dal parser grok e convertito in un numero intero.
`user_ip`	target.ip, target.asset.ip	Il valore viene estratto dal campo `user_ip` dal parser grok.
`user_mail`	principal.user.userid, principal.user.email_addresses	Il valore viene estratto dal campo `user_mail` dal parser grok.
`username`	target.user.userid	Il valore viene estratto dal campo `username` dal parser grok.
-	metadata.event_timestamp	Il valore viene estratto dal campo `create_time`.
-	metadata.event_type	Il valore è impostato su `GENERIC_EVENT` per impostazione predefinita e viene modificato in tipi di eventi specifici in base al messaggio di log analizzato.
-	metadata.log_type	Il valore è impostato su `CISCO_ROUTER`.
-	metadata.product_event_type	Il valore viene estratto dal campo `message_type`, generato combinando i campi `facility`, `priority` e `mnemonics`.
-	metadata.product_name	Il valore è impostato su `Router`.
-	metadata.vendor_name	Il valore è impostato su `Cisco`.
-	network.application_protocol	Il valore è impostato su `HTTP` o `HTTPS` se il campo `protocol` è `http` o `https`, rispettivamente.
-	extensions.auth.type	Il valore è impostato su `AUTHTYPE_UNSPECIFIED` per impostazione predefinita e viene modificato in tipi di autenticazione specifici in base al messaggio di log analizzato.
-	security_result.action	Il valore è impostato su `ALLOW` per gli accessi riusciti e su `BLOCK` per gli accessi non riusciti.
-	security_result.category	Il valore è impostato su `NETWORK_SUSPICIOUS` per gli eventi con opzioni IP e su `AUTH_VIOLATION` per gli accessi non riusciti.
-	security_result.description	Il valore è impostato su messaggi specifici per eventi diversi.
-	security_result.severity	Il valore è impostato su `LOW` per gli accessi riusciti, `MEDIUM` per gli accessi non riusciti e `INFORMATIONAL` per altri eventi.
-	security_result.severity_details	Il valore viene estratto dal campo `fail_reason` per gli accessi non riusciti e impostato su `Informational message` per gli eventi con opzioni IP.
-	security_result.summary	Il valore è impostato su messaggi specifici per eventi diversi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.