Esta página foi traduzida pela API Cloud Translation.

Coletar registros de chaves Cisco

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros de chaveamento da Cisco para o Google Security Operations usando um agente do Bindplane. O analisador extrai campos das mensagens SYSLOG e os mapeia para um modelo de dados unificado (UDM, na sigla em inglês) com base em padrões e palavras-chave identificados. Ele processa uma ampla gama de eventos, incluindo DHCP, SSH, tentativas de login, tráfego de rede e atualizações de status do sistema, categorizando-os e enriquecendo os dados com detalhes de segurança relevantes.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado a um switch Cisco.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CISCO_SWITCH
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog em um switch Cisco

Faça login no switch Cisco.
Amplie os privilégios inserindo o comando enable:
```
Switch> enable
Switch#
```
Mude para o modo de configuração digitando o comando conf t:
```
Switch# conf t
Switch(config)#
```
Digite os seguintes comandos:
```
logging host <bindplane-server-ip> transport <tcp/udp> port <port-number>
logging source-interface <interface>
```
- Substitua <bindplane-server-ip> pelo endereço IP do agente do Bindplane e <port-number> pela porta configurada.
- Substitua <tcp/udp> pelo protocolo de escuta configurado no agente do Bindplane. Por exemplo, udp.
- Substitua <interface> pelo ID da interface da Cisco.

Defina o nível de prioridade digitando o seguinte comando:

logging trap Informational 
logging console Informational 
logging severity Informational

Defina a facilidade syslog:
```
logging facility local6
```
Ative as marcas de tempo digitando o seguinte comando:
```
service timestamps log datetime
```
Salve e saia.
Configure as configurações para sobreviver à reinicialização digitando o seguinte comando:
```
copy running-config startup-config
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento de UDM	Lógica
ação	security_result.action_details	O valor desse campo é derivado do campo `action` no registro bruto.
dia
description	metadata.description	O valor desse campo é derivado do campo `description` no registro bruto.
description	security_result.description	O valor desse campo é derivado do campo `description` no registro bruto.
destination_ip	target.asset.ip	O valor desse campo é derivado do campo `destination_ip` no registro bruto.
destination_ip	target.ip	O valor desse campo é derivado do campo `destination_ip` no registro bruto.
destination_port	target.port	O valor desse campo é derivado do campo `destination_port` no registro bruto.
device	principal.asset.hostname	O valor desse campo é derivado do campo `device` no registro bruto.
device	principal.hostname	O valor desse campo é derivado do campo `device` no registro bruto.
device	target.asset.hostname	O valor desse campo é derivado do campo `device` no registro bruto.
device	target.hostname	O valor desse campo é derivado do campo `device` no registro bruto.
device_ip	principal.asset.ip	O valor desse campo é derivado do campo `device_ip` no registro bruto.
device_ip	principal.ip	O valor desse campo é derivado do campo `device_ip` no registro bruto.
device_ip	target.asset.ip	O valor desse campo é derivado do campo `device_ip` no registro bruto.
device_ip	target.ip	O valor desse campo é derivado do campo `device_ip` no registro bruto.
instalação	principal.resource.type	O valor desse campo é derivado do campo `facility` no registro bruto.
header_data	metadata.product_log_id	O valor desse campo é derivado do campo `header_data` no registro bruto.
header_data	target.asset.ip	O valor desse campo é derivado do campo `header_data` no registro bruto.
header_data	target.ip	O valor desse campo é derivado do campo `header_data` no registro bruto.
nome do host	principal.asset.hostname	O valor desse campo é derivado do campo `hostname` no registro bruto.
nome do host	principal.hostname	O valor desse campo é derivado do campo `hostname` no registro bruto.
ip	principal.asset.ip	O valor desse campo é derivado do campo `ip` no registro bruto.
ip	principal.ip	O valor desse campo é derivado do campo `ip` no registro bruto.
ip_address	principal.asset.ip	O valor desse campo é derivado do campo `ip_address` no registro bruto.
ip_address	principal.ip	O valor desse campo é derivado do campo `ip_address` no registro bruto.
ip_protocol	network.ip_protocol	O valor desse campo é derivado do campo `ip_protocol` no registro bruto.
mac	principal.mac	O valor desse campo é derivado do campo `mac` no registro bruto.
mnemônico	network.dhcp.opcode	O valor desse campo é derivado do campo `mnemonic` no registro bruto.
mnemônico	metadata.product_event_type	O valor desse campo é derivado do campo `mnemonic` no registro bruto.
mês
p_ip	principal.asset.ip	O valor desse campo é derivado do campo `p_ip` no registro bruto.
p_ip	principal.ip	O valor desse campo é derivado do campo `p_ip` no registro bruto.
porta	target.port	O valor desse campo é derivado do campo `port` no registro bruto.
prioridade
protocolo	network.ip_protocol	O valor desse campo é derivado do campo `protocol` no registro bruto.
reason
regra	security_result.rule_id	O valor desse campo é derivado do campo `rule` no registro bruto.
sec_result_action	security_result.action	O valor desse campo é derivado do campo `sec_result_action` no registro bruto.
gravidade,
source	principal.asset.ip	O valor desse campo é derivado do campo `source` no registro bruto.
source	principal.ip	O valor desse campo é derivado do campo `source` no registro bruto.
source_ip	network.dhcp.ciaddr	O valor desse campo é derivado do campo `source_ip` no registro bruto.
source_ip	principal.asset.ip	O valor desse campo é derivado do campo `source_ip` no registro bruto.
source_ip	principal.ip	O valor desse campo é derivado do campo `source_ip` no registro bruto.
source_mac	network.dhcp.chaddr	O valor desse campo é derivado do campo `source_mac` no registro bruto.
source_port	principal.port	O valor desse campo é derivado do campo `source_port` no registro bruto.
resumo	security_result.summary	O valor desse campo é derivado do campo `summary` no registro bruto.
tempo
timezone
usuário	principal.user.userid	O valor desse campo é derivado do campo `user` no registro bruto.
usuário	target.user.userid	O valor desse campo é derivado do campo `user` no registro bruto.
quando
ano
	extensions.auth.type	MÁQUINA
	metadata.log_type	CISCO_SWITCH
	metadata.vendor_name	Cisco
	metadata.product_name	Switch Cisco
	network.application_protocol	DHCP
	network.dhcp.type	SOLICITAÇÃO

Alterações

2025-02-18

Melhoria:

Suporte adicionado para um novo padrão de registros SYSLOG.

2025-01-22

Melhoria:

Se facility for SEC_LOGIN e mnemonic for LOGIN_SUCCESS, mapeie device para principle.hostname e principal.asset.hostname.
Se facility for SEC_LOGIN e mnemonic for LOGIN_FAILED, mapeie device para principal.hostname e principal.asset.hostname.

2024-11-27

Melhoria:

Foram adicionados novos padrões Grok para analisar logs de syslog com falhas.
username3 foi mapeado para principal.user.userid.
login_status foi mapeado para security_result.summary.

2024-11-20

Melhoria:

Suporte adicionado para um novo padrão de registros SYSLOG.

2024-11-06

Melhoria:

ecs.version foi mapeado para metadata.product_version.
fileset.name, flow.locality, flow.id, input.type, netflow.exporter.source_id e netflow.exporter.uptime_millis foram mapeados para additional.fields.
network.transport foi mapeado para network.ip_protocol.
netflow.post_nat_source_ipv4_address foi mapeado para principal.ip.
netflow.source_transport_port foi mapeado para principal.port.
network.direction foi mapeado para network.direction.

2024-10-22

Melhoria:

Adicionamos um padrão Grok para analisar registros não analisados.
Mapeou intermediary_ip para intermediary.ip
Mapeou intermediary_hostname para intermediary.hostname

2024-10-03

Melhoria:

Suporte adicionado para um novo padrão de registros SYSLOG.

2024-09-24

Melhoria:

Suporte adicionado a um novo formato de registros do syslog.

2024-08-26

Melhoria:

Quando principal_host está vazio, apenas device é mapeado para principal.hostname.

2024-07-01

Melhoria:

Um padrão Grok foi adicionado para analisar registros descartados válidos com um novo padrão.
Além disso, adicionamos um padrão Grok para extrair target_ip do campo header_data.

2024-05-29

Melhoria:

Um padrão Grok foi adicionado para analisar registros descartados válidos com um novo padrão.
Um padrão Grok foi adicionado para extrair principal_host do campo header_data.
Um padrão Grok foi adicionado para extrair destination_ip, src_mac e hostname do campo description.
principal_host foi mapeado para principal.hostname.
src_mac foi mapeado para principal.mac.
eventSummary foi mapeado para metadata.product_event_type.
description foi mapeado para security_result.description.
error_msg foi mapeado para security_result.detection_fields.

2024-05-22

Melhoria:

Um padrão Grok foi adicionado para extrair o nome do host.

2024-05-08

Melhoria:

Adicionamos um padrão Grok para oferecer suporte a registros no formato SYSLOG com caracteres especiais.
pid foi mapeado para principal.process.pid.
srcPort foi mapeado para principal.port.
Mapeamento de device_ip para principal.ip e principal.asset.ip.
srcUser foi mapeado para principal.user.userid.
username1 foi mapeado para target.user.userid.
command foi mapeado para target.process.command_line.
PWD foi mapeado para target.process.file.full_path.
host_name foi mapeado para principal.hostnameandprincipal.asset.hostname.
Mapeamos node_id, cluster_id, exception, UniqueId e app_id para additional.fields.

2023-12-08

Melhoria:

Adição de suporte ao novo padrão de registros SYSLOG e de chave-valor.
DEVICE foi mapeado para principal.mac.
SRC foi mapeado para principal.ip.
SPT foi mapeado para principal.port.
DST foi mapeado para target.ip.
DPT foi mapeado para target.port.
ID foi mapeado para network.session_id.
LEN foi mapeado para network.session_duration.seconds.
PROTO foi mapeado para network.ip_protocol.
IN, OUT, PHYSIN, WINDOW, RES,TOS,PREC,TTL,URGP,MAC,radio,vap,auth_type,sugg_band,ssid_id,ssid_profile_nameandprotocoltoadditional.fields mapeados.
client_mac foi mapeado para principal.mac.
aid foi mapeado para network.session_id.
rssi foi mapeado para intermediary.asset.product_object_id.
channel foi mapeado para security_result.detection_fields.

2023-11-05

Melhoria:

Foram modificados e adicionados novos padrões Grok para analisar logs de syslog com falhas.
Foi adicionado um filtro KV para analisar registros KV.
Mapeou eventSummary, dhcp_ip, client_mac, aid e ip_src para metadata.product_event_type, target.ip, network.dhcp.chaddr, network.session_id e principal.ip, respectivamente.
mac, src, sport, dst, dport, action, protocol, url e signature foram mapeados para principal.mac, principal.ip, principal.port, target.ip, target.port, security_result.action, network.ip_protocol, principal.url e "additional.fields", respectivamente.
Para eventSummary, splash_auth mapeou metadata.event_type e extensions.auth.type para USER_LOGIN e MACHINE, respectivamente.
Para eventSummary, association mapeou eventSummary, aid, rssi, channel, last_known_client_ip e event_type para security_result.summary, network.session_id, intermediary.asset.product_object_id, security_result.detection_fields, principal.ip e STATUS_UPDATE, respectivamente.

2023-04-27

Melhoria:

Redução da porcentagem genérica.
Os padrões de Grok desnecessários foram removidos.
Adição do padrão Grok para analisar registros syslog.
Adição de uma verificação condicional para source_ip, destination_ip.
Se source_ip e destination_ip estiverem presentes, mapeie event_type para NETWORK_CONNECTION.
Se source_ip estiver presente e destination_ip não estiver, mapeie event_type para STATUS_UPDATE.
pid foi mapeado para target.process.pid.
app_name foi mapeado para target.application.

2023-03-24

Correção de bugs:

Adição de um padrão e mapeamento do Grok para registros em que os tipos de mensagem são FILECPY, REJECT, CONNECT ou DISCONNECT.

2023-01-24

Melhoria:

Os padrões do Grok foram modificados para oferecer suporte a registros com fuso horário.
O "ip_address" foi mapeado para "principal.ip".
Quando mnemonic é NBR_RESET e ip_address está presente , metadata.event_type é definido como STATUS_UPDATE.

2022-07-21

Melhoria:

O padrão grok foi adicionado, e o analisador foi aprimorado para analisar os registros que estavam sendo descartados (registros sem "%--").
O nome do host foi mapeado para "principal.hostname".
Mapeou "source_ip" para "principal.ip"
Mapeou "destination_ip" para "target.ip"
O "ip_protocol" foi mapeado para "network.ip_protocol".
O "summary" foi mapeado para "security_result.summary".
O "header_data" foi mapeado para "metadata.product_log_id".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.