Raccogliere i log dello switch Cisco

Supportato in:

Questo documento spiega come importare i log degli switch Cisco in Google Security Operations utilizzando un agente Bindplane. Il parser estrae i campi dai messaggi SYSLOG, mappandoli a un modello UDM (Unified Data Model) in base a pattern e parole chiave identificati. Gestisce un'ampia gamma di eventi, tra cui DHCP, SSH, tentativi di accesso, traffico di rete e aggiornamenti dello stato del sistema, classificandoli e arricchendo i dati con dettagli di sicurezza pertinenti.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato a uno switch Cisco.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CISCO_SWITCH
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent
    
  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurare Syslog su uno switch Cisco

  1. Accedi allo switch Cisco.
  2. Aumenta i privilegi inserendo il comando enable:

    Switch> enable
    Switch#
    
  3. Passa alla modalità di configurazione inserendo il comando conf t:

    Switch# conf t
    Switch(config)#
    
  4. Inserisci i seguenti comandi:

    logging host <bindplane-server-ip> transport <tcp/udp> port <port-number>
    logging source-interface <interface>
    
    • Sostituisci <bindplane-server-ip> con l'indirizzo IP dell'agente Bindplane e <port-number> con la porta configurata.
    • Sostituisci <tcp/udp> con il protocollo di ascolto configurato nell'agente Bindplane. Ad esempio, udp.
    • Sostituisci <interface> con l'ID interfaccia Cisco.
  5. Imposta il livello di priorità inserendo il seguente comando:

    logging trap Informational 
    logging console Informational 
    logging severity Informational
    
  6. Imposta la struttura syslog:

    logging facility local6
    
  7. Attiva i timestamp inserendo il seguente comando:

    service timestamps log datetime
    
  8. Salva ed esci.

  9. Configura le impostazioni in modo che vengano mantenute dopo il riavvio inserendo il seguente comando:

    copy running-config startup-config
    

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
azione security_result.action_details Il valore di questo campo viene ricavato dal campo action nel log non elaborato.
giorno
description metadata.description Il valore di questo campo viene ricavato dal campo description nel log non elaborato.
description security_result.description Il valore di questo campo viene ricavato dal campo description nel log non elaborato.
destination_ip target.asset.ip Il valore di questo campo viene ricavato dal campo destination_ip nel log non elaborato.
destination_ip target.ip Il valore di questo campo viene ricavato dal campo destination_ip nel log non elaborato.
destination_port target.port Il valore di questo campo viene ricavato dal campo destination_port nel log non elaborato.
dispositivo principal.asset.hostname Il valore di questo campo viene ricavato dal campo device nel log non elaborato.
dispositivo principal.hostname Il valore di questo campo viene ricavato dal campo device nel log non elaborato.
dispositivo target.asset.hostname Il valore di questo campo viene ricavato dal campo device nel log non elaborato.
dispositivo target.hostname Il valore di questo campo viene ricavato dal campo device nel log non elaborato.
device_ip principal.asset.ip Il valore di questo campo viene ricavato dal campo device_ip nel log non elaborato.
device_ip principal.ip Il valore di questo campo viene ricavato dal campo device_ip nel log non elaborato.
device_ip target.asset.ip Il valore di questo campo viene ricavato dal campo device_ip nel log non elaborato.
device_ip target.ip Il valore di questo campo viene ricavato dal campo device_ip nel log non elaborato.
struttura principal.resource.type Il valore di questo campo viene ricavato dal campo facility nel log non elaborato.
header_data metadata.product_log_id Il valore di questo campo viene ricavato dal campo header_data nel log non elaborato.
header_data target.asset.ip Il valore di questo campo viene ricavato dal campo header_data nel log non elaborato.
header_data target.ip Il valore di questo campo viene ricavato dal campo header_data nel log non elaborato.
nome host principal.asset.hostname Il valore di questo campo viene ricavato dal campo hostname nel log non elaborato.
nome host principal.hostname Il valore di questo campo viene ricavato dal campo hostname nel log non elaborato.
ip principal.asset.ip Il valore di questo campo viene ricavato dal campo ip nel log non elaborato.
ip principal.ip Il valore di questo campo viene ricavato dal campo ip nel log non elaborato.
ip_address principal.asset.ip Il valore di questo campo viene ricavato dal campo ip_address nel log non elaborato.
ip_address principal.ip Il valore di questo campo viene ricavato dal campo ip_address nel log non elaborato.
ip_protocol network.ip_protocol Il valore di questo campo viene ricavato dal campo ip_protocol nel log non elaborato.
mac principal.mac Il valore di questo campo viene ricavato dal campo mac nel log non elaborato.
mnemonico network.dhcp.opcode Il valore di questo campo viene ricavato dal campo mnemonic nel log non elaborato.
mnemonico metadata.product_event_type Il valore di questo campo viene ricavato dal campo mnemonic nel log non elaborato.
mese
p_ip principal.asset.ip Il valore di questo campo viene ricavato dal campo p_ip nel log non elaborato.
p_ip principal.ip Il valore di questo campo viene ricavato dal campo p_ip nel log non elaborato.
porta target.port Il valore di questo campo viene ricavato dal campo port nel log non elaborato.
priorità
protocollo network.ip_protocol Il valore di questo campo viene ricavato dal campo protocol nel log non elaborato.
motivo
regola security_result.rule_id Il valore di questo campo viene ricavato dal campo rule nel log non elaborato.
sec_result_action security_result.action Il valore di questo campo viene ricavato dal campo sec_result_action nel log non elaborato.
gravità
origine principal.asset.ip Il valore di questo campo viene ricavato dal campo source nel log non elaborato.
origine principal.ip Il valore di questo campo viene ricavato dal campo source nel log non elaborato.
source_ip network.dhcp.ciaddr Il valore di questo campo viene ricavato dal campo source_ip nel log non elaborato.
source_ip principal.asset.ip Il valore di questo campo viene ricavato dal campo source_ip nel log non elaborato.
source_ip principal.ip Il valore di questo campo viene ricavato dal campo source_ip nel log non elaborato.
source_mac network.dhcp.chaddr Il valore di questo campo viene ricavato dal campo source_mac nel log non elaborato.
source_port principal.port Il valore di questo campo viene ricavato dal campo source_port nel log non elaborato.
riepilogo security_result.summary Il valore di questo campo viene ricavato dal campo summary nel log non elaborato.
tempo
fuso orario
utente principal.user.userid Il valore di questo campo viene ricavato dal campo user nel log non elaborato.
utente target.user.userid Il valore di questo campo viene ricavato dal campo user nel log non elaborato.
quando
anno
extensions.auth.type MACHINE
metadata.log_type CISCO_SWITCH
metadata.vendor_name Cisco
metadata.product_name Cisco Switch
network.application_protocol DHCP
network.dhcp.type RICHIEDI

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.