Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cisco VCS

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Cisco VCS (Video Communication Service), (dikontrol melalui ExpressWay) ke Google Security Operations menggunakan BindPlane. Parser mengekstrak kolom dari pesan syslog, menormalisasinya ke dalam Model Data Terpadu (UDM), dan mengategorikan jenis peristiwa berdasarkan detail yang diekstrak seperti alamat IP, port, dan tindakan. Log ini menangani berbagai format log, mengekstraksi pasangan nilai kunci, dan memetakan tingkat keparahan ke nilai standar untuk analisis keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Cisco ExpressWay

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download file autentikasi penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_VCS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Cisco ExpressWay

Login ke UI web Cisco ExpressWay.
Buka Pemeliharaan > Logging.
Masukkan alamat IP agen BindPlane sebagai Remote syslog server.
Klik Opsi.
Berikan detail konfigurasi berikut:
- Transportasi: Pilih UDP.
- Port: Masukkan nomor port agen Bindplane.
- Format Pesan: Pilih BSD, opsi lain yang mungkin adalah IETF.
- Filter menurut Tingkat Keparahan: Pilih Informasi.
Klik Simpan.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Tindakan	read_only_udm.security_result.action_details	Nilai kolom `Action` dari log mentah.
Kode	read_only_udm.network.http.response_code	Nilai kolom `Code` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Response-code` tidak ada.
Detail	read_only_udm.security_result.description	Nilai kolom `Detail` dari log mentah.
Dst-ip	read_only_udm.target.ip	Nilai kolom `Dst-ip` dari log mentah. Digunakan saat `Action` bukan `Received`.
Dst-port	read_only_udm.target.port	Nilai kolom `Dst-port` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Action` bukan `Received`.
Acara	read_only_udm.metadata.product_event_type	Nilai kolom `Event` dari log mentah.
Tingkat	read_only_udm.security_result.severity_details	Nilai kolom `Level` dari log mentah.
Tingkat	read_only_udm.security_result.severity	Dipetakan berdasarkan nilai kolom `Level` dari log mentah: - `9`, `10`, `VERY-HIGH`: KRITIS - `error`, `warning`, `7`, `8`, `HIGH`: TINGGI - `notice`, `4`, `5`, `6`, `MEDIUM`: SEDANG - `information`, `info`, `0`, `1`, `2`, `3`, `LOW`: RENDAH
Local-ip	read_only_udm.principal.ip	Nilai kolom `Local-ip` dari log mentah. Digunakan saat `Action` bukan `Received`.
Local-ip	read_only_udm.target.ip	Nilai kolom `Local-ip` dari log mentah. Digunakan saat `Action` adalah `Received`.
Local-port	read_only_udm.principal.port	Nilai kolom `Local-port` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Action` bukan `Received`.
Local-port	read_only_udm.target.port	Nilai kolom `Local-port` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Action` adalah `Received`.
Metode	read_only_udm.network.http.method	Nilai kolom `Method` dari log mentah.
Modul	read_only_udm.additional.fields.value.string_value	Nilai kolom `Module` dari log mentah.
Node	read_only_udm.additional.fields.value.string_value	Nilai kolom `Node` dari log mentah.
Protokol	read_only_udm.network.ip_protocol	Nilai kolom `Protocol` dari log mentah, diuraikan dan dipetakan ke nama protokol IP yang sesuai menggunakan logika `parse_ip_protocol.include`.
Response-code	read_only_udm.network.http.response_code	Nilai kolom `Response-code` dari log mentah, dikonversi menjadi bilangan bulat.
Src-ip	read_only_udm.principal.ip	Nilai kolom `Src-ip` dari log mentah. Digunakan saat `Action` adalah `Received`.
Src-ip	read_only_udm.principal.ip	Nilai kolom `Src-ip` dari log mentah. Digunakan saat `Action` bukan `Received` dan `Local-ip` tidak ada.
Src-port	read_only_udm.principal.port	Nilai kolom `Src-port` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Action` adalah `Received`.
Src-port	read_only_udm.principal.port	Nilai kolom `Src-port` dari log mentah, dikonversi menjadi bilangan bulat. Digunakan saat `Action` bukan `Received` dan `Local-port` tidak ada.
application	read_only_udm.target.application	Nilai kolom `application` dari log mentah.
deskripsi	read_only_udm.security_result.description	Nilai kolom `description` dari log mentah.
inner_msg	read_only_udm.security_result.description	Nilai kolom `inner_msg` dari log mentah. Digunakan saat `inner_msg_grok_failure` terjadi.
principal_hostname	read_only_udm.principal.hostname	Nilai kolom `principal_hostname` dari log mentah.
timestamp	read_only_udm.metadata.event_timestamp.seconds	Stempel waktu epoch yang diekstrak dari kolom `timestamp` dalam log mentah.
timestamp	read_only_udm.events.timestamp.seconds	Stempel waktu epoch yang diekstrak dari kolom `timestamp` dalam log mentah.
	read_only_udm.additional.fields.key	Nilai yang dikodekan secara permanen: `Module`, `Node`
	read_only_udm.metadata.log_type	Nilai yang dikodekan secara permanen: `CISCO_VCS`
	read_only_udm.metadata.product_name	Nilai yang dikodekan secara permanen: `CISCO VCS`
	read_only_udm.metadata.vendor_name	Nilai yang dikodekan secara permanen: `CISCO VCS`
	read_only_udm.metadata.event_type	Ditentukan berdasarkan nilai kolom `Action`, `Src-ip`, `principal_hostname`, `Local-ip`, dan `Dst-ip`: - `NETWORK_CONNECTION`: jika (`Action` adalah `Received` dan `Local-ip` ada) atau (`Action` bukan `Received` dan `Dst-ip` ada) - `STATUS_UPDATE`: jika tidak

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.