Coletar registros do Cisco UCS

Compatível com:

Este documento explica como ingerir registros do Cisco UCS no Google Security Operations usando o Bindplane. O código do analisador tenta primeiro analisar a mensagem de registro bruta como JSON. Se isso não funcionar, ele usará expressões regulares (padrões grok) para extrair campos da mensagem com base em formatos de registro comuns do Cisco UCS. .

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Host Windows 2016 ou mais recente ou Linux com systemd
  • Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao Cisco UCS

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

  2. Edite o arquivo config.yaml da seguinte forma:

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    ```bash
sudo systemctl restart bindplane-agent
```

  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog para o Cisco UCS

  1. Faça login no Cisco UCS Manager.
  2. Selecione a guia Administrador.
  3. Expanda Falhas, eventos e registro de auditoria.
  4. Selecione Syslog.
  5. Localize a categoria Arquivo e selecione Ativado para o estado de administrador.
  6. Selecione o nível de alarme no menu (por exemplo, Avisos).
  7. Clique em Salvar alterações.
  8. Localize a categoria Destinos remotos à direita.
  9. Selecione Ativado para Estado de administrador do servidor 1.
  10. Informe os seguintes detalhes de configuração:
    • Nível: selecione Informativo.
    • Nome do host: insira o endereço IP do Bindplane. A porta padrão no UCS é 514.
    • Facility: selecione Local7.
  11. Clique em Salvar alterações.

Tabela de mapeamento da UDM

Campo de registro Mapeamento da UDM Lógica
aplicativo read_only_udm.principal.application Valor extraído do campo "application" pelo padrão Grok.
desc read_only_udm.security_result.description Valor extraído do campo "desc" pelo padrão Grok.
desc read_only_udm.security_result.severity Se o campo "desc" contiver Warning, defina como HIGH.
filename read_only_udm.principal.process.file.full_path Valor extraído do campo "filename" pelo padrão Grok.
file_size read_only_udm.principal.process.file.size Valor extraído do campo "file_size" pelo padrão Grok e convertido em um número inteiro sem sinal.
host read_only_udm.principal.ip Valor extraído do campo "host" pelo padrão Grok.
nome do host read_only_udm.principal.hostname Valor extraído do campo "hostname" pelo padrão Grok.
prod_evt_type read_only_udm.metadata.product_event_type Valor extraído do campo "prod_evt_type" pelo padrão Grok.
serviço read_only_udm.target.application Valor extraído do campo "service" pelo padrão Grok.
gravidade, read_only_udm.security_result.severity Se o campo "severity" contiver error (sem distinção entre maiúsculas e minúsculas), defina como ERROR.
timestamp read_only_udm.metadata.event_timestamp.seconds Valor extraído do campo "timestamp" pelo padrão Grok e analisado como um carimbo de data/hora.
usuário read_only_udm.principal.user.userid Valor extraído do campo "user" pelo padrão Grok.
read_only_udm.extensions.auth.type Definido como MACHINE se o campo "user" não estiver vazio.
read_only_udm.metadata.event_type Lógica com base na presença do campo:
- USER_LOGIN se o campo "user" não estiver vazio.
- GENERIC_EVENT se os campos "hostname" e "host" estiverem vazios.
- STATUS_UPDATE caso contrário.
read_only_udm.metadata.log_type Fixado no código como CISCO_UCS.
read_only_udm.metadata.product_name Fixado no código como Cisco UCS.
read_only_udm.metadata.vendor_name Fixado no código como Cisco.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.