Coletar registros do Cisco UCS

Compatível com:

Este documento explica como transferir os registros do Cisco UCS para o Google Security Operations usando o Bindplane. O código do analisador primeiro tenta analisar a mensagem de registro bruta como JSON. Se isso falhar, ele vai usar expressões regulares (padrões grok) para extrair campos da mensagem com base em formatos de registro comuns do Cisco UCS. .

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou host Linux com systemd
  • Se estiver em execução por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao Cisco UCS

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute este comando:

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

  2. Edite o arquivo config.yaml da seguinte forma:

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    ```bash
sudo systemctl restart bindplane-agent
```

  • Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog para o Cisco UCS

  1. Faça login no Cisco UCS Manager.
  2. Selecione a guia Administrador.
  3. Expanda Falhas, eventos e registro de auditoria.
  4. Selecione Syslog.
  5. Localize a categoria File e selecione Enabled para o estado de administrador.
  6. Selecione o nível de alarme no menu (por exemplo, Alertas).
  7. Clique em Salvar alterações.
  8. Localize a categoria Destinos remotos à direita.
  9. Selecione Ativado para Estado de administrador do servidor 1.
  10. Informe os seguintes detalhes de configuração:
    • Nível: selecione Informativo.
    • Nome do host: insira o endereço IP do BindPlane. A porta padrão no UCS é 514.
    • Facility: selecione Local7.
  11. Clique em Salvar alterações.

Tabela de mapeamento da UDM

Campo de registro Mapeamento de UDM Lógica
aplicativo read_only_udm.principal.application Valor extraído do campo "application" pelo padrão Grok.
desc read_only_udm.security_result.description Valor extraído do campo "desc" extraído pelo padrão Grok.
desc read_only_udm.security_result.severity Se o campo "desc" contiver Warning, defina como HIGH.
filename read_only_udm.principal.process.file.full_path Valor retirado do campo "filename" extraído pelo padrão Grok.
file_size read_only_udm.principal.process.file.size Valor retirado do campo "file_size" extraído pelo padrão Grok e convertido em um número inteiro sem sinal.
host read_only_udm.principal.ip Valor extraído do campo "host" pelo padrão Grok.
nome do host read_only_udm.principal.hostname Valor extraído do campo "hostname" pelo padrão Grok.
prod_evt_type read_only_udm.metadata.product_event_type Valor extraído do campo "prod_evt_type" pelo padrão Grok.
serviço read_only_udm.target.application Valor extraído do campo "service" pelo padrão Grok.
gravidade, read_only_udm.security_result.severity Se o campo "severity" contiver error (sem distinção entre maiúsculas e minúsculas), defina como ERROR.
timestamp read_only_udm.metadata.event_timestamp.seconds Valor extraído do campo "carimbo de data/hora" e analisado como um carimbo de data/hora pelo padrão Grok.
usuário read_only_udm.principal.user.userid Valor extraído do campo "user" pelo padrão Grok.
read_only_udm.extensions.auth.type Defina como MACHINE se o campo "user" não estiver vazio.
read_only_udm.metadata.event_type Lógica baseada na presença de campo:
- USER_LOGIN se o campo "user" não estiver vazio.
: GENERIC_EVENT se os campos "hostname" e "host" estiverem vazios.
- STATUS_UPDATE caso contrário.
read_only_udm.metadata.log_type Fixado em CISCO_UCS.
read_only_udm.metadata.product_name Fixado em Cisco UCS.
read_only_udm.metadata.vendor_name Fixado em Cisco.

Alterações

2022-07-04

Melhorias:

  • Analisador recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.