Recopila registros de Cisco UCS

Compatible con:

En este documento, se explica cómo transferir registros de Cisco UCS a Google Security Operations con Bindplane. Primero, el código del analizador intenta analizar el mensaje de registro sin procesar como JSON. Si eso falla, usa expresiones regulares (patrones grok) para extraer campos del mensaje según los formatos de registro comunes de Cisco UCS. .

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Host de Windows 2016 o posterior, o de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a Cisco UCS

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    ```bash
sudo systemctl restart bindplane-agent
```

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog para Cisco UCS

  1. Accede a Cisco UCS Manager.
  2. Selecciona la pestaña Administrador.
  3. Expande Faults, Events, and Audit Log.
  4. Selecciona Syslog.
  5. Ubica la categoría Archivo y selecciona Habilitado para el estado de administrador.
  6. Selecciona el nivel de alarma en el menú (por ejemplo, Advertencias).
  7. Haz clic en Guardar cambios.
  8. Ubica la categoría Remote Destinations a la derecha.
  9. Selecciona Habilitado para Estado de administrador del servidor 1.
  10. Proporciona los siguientes detalles de configuración:
    • Nivel: Selecciona Informativo.
    • Nombre de host: Ingresa la dirección IP de BindPlane. El puerto predeterminado en UCS es 514.
    • Facility: Selecciona Local7.
  11. Haz clic en Guardar cambios.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
aplicación read_only_udm.principal.application Valor tomado del campo "application" que extrae el patrón de Grok.
desc read_only_udm.security_result.description Es el valor que se toma del campo "desc" que extrae el patrón de Grok.
desc read_only_udm.security_result.severity Si el campo "desc" contiene Warning, se establece en HIGH.
filename read_only_udm.principal.process.file.full_path Valor tomado del campo "filename" extraído por el patrón de Grok.
file_size read_only_udm.principal.process.file.size Valor tomado del campo "file_size" extraído por el patrón de Grok y convertido en un número entero sin signo.
host read_only_udm.principal.ip Valor tomado del campo "host" extraído por el patrón de Grok.
Nombre de host read_only_udm.principal.hostname Valor tomado del campo "hostname" extraído por el patrón de Grok.
prod_evt_type read_only_udm.metadata.product_event_type Es el valor que se toma del campo "prod_evt_type" que extrae el patrón de Grok.
servicio read_only_udm.target.application Valor tomado del campo "service" que extrae el patrón de Grok.
gravedad, read_only_udm.security_result.severity Si el campo "gravedad" contiene error (sin distinción entre mayúsculas y minúsculas), se establece en ERROR.
timestamp read_only_udm.metadata.event_timestamp.seconds Es el valor que se toma del campo "timestamp" que extrae el patrón de Grok y se analiza como una marca de tiempo.
usuario read_only_udm.principal.user.userid Valor tomado del campo "user" que extrae el patrón de Grok.
read_only_udm.extensions.auth.type Se establece en MACHINE si el campo "user" no está vacío.
read_only_udm.metadata.event_type Lógica basada en la presencia del campo:
- USER_LOGIN si el campo "user" no está vacío.
: GENERIC_EVENT si los campos "hostname" y "host" están vacíos.
; de lo contrario, STATUS_UPDATE
read_only_udm.metadata.log_type Se codificó como CISCO_UCS.
read_only_udm.metadata.product_name Se codificó como Cisco UCS.
read_only_udm.metadata.vendor_name Se codificó como Cisco.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.