Collecter les journaux Cisco UCS

Compatible avec :

Ce document explique comment ingérer des journaux Cisco UCS dans Google Security Operations à l'aide de Bindplane. Le code de l'analyseur tente d'abord d'analyser le message de journal brut au format JSON. Si cela échoue, il utilise des expressions régulières (modèles grok) pour extraire les champs du message en fonction des formats de journaux Cisco UCS courants. .

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
  • Accès privilégié à Cisco UCS

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    ```bash
sudo systemctl restart bindplane-agent
```

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog pour Cisco UCS

  1. Connectez-vous à Cisco UCS Manager.
  2. Cliquez sur l'onglet Admin.
  3. Développez Faults, Events, and Audit Log (Défauts, événements et journal d'audit).
  4. Sélectionnez Syslog.
  5. Localisez la catégorie File (Fichier), puis sélectionnez Enabled (Activé) pour l'état d'administration.
  6. Sélectionnez le niveau d'alarme dans le menu (par exemple, Avertissements).
  7. Cliquez sur Enregistrer les modifications.
  8. Sur la droite, recherchez la catégorie Destinations distantes.
  9. Sélectionnez Activé pour État de l'administrateur du serveur 1.
  10. Fournissez les informations de configuration suivantes :
    • Niveau : sélectionnez Informationnel.
    • Nom d'hôte : saisissez l'adresse IP de Bindplane. Le port par défaut dans UCS est 514.
    • Établissement : sélectionnez Local7.
  11. Cliquez sur Enregistrer les modifications.

Table de mappage UDM

Champ du journal Mappage UDM Logique
application read_only_udm.principal.application Valeur extraite du champ "application" par le modèle Grok.
décroiss. read_only_udm.security_result.description Valeur extraite du champ "desc" par le modèle Grok.
décroiss. read_only_udm.security_result.severity Si le champ "desc" contient Warning, définissez-le sur HIGH.
filename read_only_udm.principal.process.file.full_path Valeur extraite du champ "filename" par le modèle Grok.
file_size read_only_udm.principal.process.file.size Valeur extraite du champ "file_size" par le modèle Grok et convertie en entier non signé.
hôte read_only_udm.principal.ip Valeur extraite du champ "host" par le modèle Grok.
nom d'hôte read_only_udm.principal.hostname Valeur extraite du champ "hostname" par le modèle Grok.
prod_evt_type read_only_udm.metadata.product_event_type Valeur extraite du champ "prod_evt_type" par le modèle Grok.
service read_only_udm.target.application Valeur extraite du champ "service" par le modèle Grok.
de gravité, read_only_udm.security_result.severity Si le champ "severity" contient error (non sensible à la casse), définissez-le sur ERROR.
timestamp read_only_udm.metadata.event_timestamp.seconds Valeur extraite du champ "timestamp" par le modèle Grok et analysée en tant qu'horodatage.
utilisateur read_only_udm.principal.user.userid Valeur extraite du champ "user" par le modèle Grok.
read_only_udm.extensions.auth.type Définissez sur MACHINE si le champ "user" n'est pas vide.
read_only_udm.metadata.event_type Logique basée sur la présence de champs :
 – USER_LOGIN si le champ "user" n'est pas vide.
 – GENERIC_EVENT si les champs "hostname" et "host" sont vides.
 – STATUS_UPDATE sinon.
read_only_udm.metadata.log_type Codé en dur sur CISCO_UCS.
read_only_udm.metadata.product_name Codé en dur sur Cisco UCS.
read_only_udm.metadata.vendor_name Codé en dur sur Cisco.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.