Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cisco VCS

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cisco VCS (Video Communication Service), (controlado pelo ExpressWay) no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens do syslog, normaliza-os em um modelo de dados unificado (UDM) e categoriza o tipo de evento com base nos detalhes extraídos, como endereços IP, portas e ações. Ele processa vários formatos de registros, extrai pares de chave-valor e mapeia níveis de gravidade para valores padronizados para análise de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Cisco ExpressWay

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de ingestão. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_VCS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog para o Cisco ExpressWay

Faça login na UI da Web do Cisco ExpressWay.
Acesse Manutenção > Logging.
Insira os endereços IP do agente do Bindplane como o Servidor syslog remoto.
Clique em Opções.
Informe os seguintes detalhes de configuração:
- Transporte: selecione UDP.
- Porta: digite o número da porta do agente do Bindplane.
- Formato da mensagem: selecione BSD. A outra opção possível é IETF.
- Filtrar por gravidade: selecione Informativo.
Clique em Salvar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento da UDM	Lógica
Ação	read_only_udm.security_result.action_details	O valor do campo `Action` do registro bruto.
Código	read_only_udm.network.http.response_code	O valor do campo `Code` do registro bruto, convertido em número inteiro. Usado quando `Response-code` não está presente.
Detalhes	read_only_udm.security_result.description	O valor do campo `Detail` do registro bruto.
Dst-ip	read_only_udm.target.ip	O valor do campo `Dst-ip` do registro bruto. Usado quando `Action` não é `Received`.
Dst-port	read_only_udm.target.port	O valor do campo `Dst-port` do registro bruto, convertido em número inteiro. Usado quando `Action` não é `Received`.
Evento	read_only_udm.metadata.product_event_type	O valor do campo `Event` do registro bruto.
Nível	read_only_udm.security_result.severity_details	O valor do campo `Level` do registro bruto.
Nível	read_only_udm.security_result.severity	Mapeado com base no valor do campo `Level` do registro bruto: - `9`, `10`, `VERY-HIGH`: CRITICAL - `error`, `warning`, `7`, `8`, `HIGH`: HIGH - `notice`, `4`, `5`, `6`, `MEDIUM`: MEDIUM - `information`, `info`, `0`, `1`, `2`, `3`, `LOW`: LOW
Local-ip	read_only_udm.principal.ip	O valor do campo `Local-ip` do registro bruto. Usado quando `Action` não é `Received`.
Local-ip	read_only_udm.target.ip	O valor do campo `Local-ip` do registro bruto. Usado quando `Action` é `Received`.
Local-port	read_only_udm.principal.port	O valor do campo `Local-port` do registro bruto, convertido em número inteiro. Usado quando `Action` não é `Received`.
Local-port	read_only_udm.target.port	O valor do campo `Local-port` do registro bruto, convertido em número inteiro. Usado quando `Action` é `Received`.
Método	read_only_udm.network.http.method	O valor do campo `Method` do registro bruto.
Módulo	read_only_udm.additional.fields.value.string_value	O valor do campo `Module` do registro bruto.
Nó	read_only_udm.additional.fields.value.string_value	O valor do campo `Node` do registro bruto.
Protocolo	read_only_udm.network.ip_protocol	O valor do campo `Protocol` do registro bruto, analisado e mapeado para o nome do protocolo IP correspondente usando a lógica `parse_ip_protocol.include`.
Response-code	read_only_udm.network.http.response_code	O valor do campo `Response-code` do registro bruto, convertido em número inteiro.
Src-ip	read_only_udm.principal.ip	O valor do campo `Src-ip` do registro bruto. Usado quando `Action` é `Received`.
Src-ip	read_only_udm.principal.ip	O valor do campo `Src-ip` do registro bruto. Usado quando `Action` não é `Received` e `Local-ip` não está presente.
Src-port	read_only_udm.principal.port	O valor do campo `Src-port` do registro bruto, convertido em número inteiro. Usado quando `Action` é `Received`.
Src-port	read_only_udm.principal.port	O valor do campo `Src-port` do registro bruto, convertido em número inteiro. Usado quando `Action` não é `Received` e `Local-port` não está presente.
aplicativo	read_only_udm.target.application	O valor do campo `application` do registro bruto.
description	read_only_udm.security_result.description	O valor do campo `description` do registro bruto.
inner_msg	read_only_udm.security_result.description	O valor do campo `inner_msg` do registro bruto. Usado quando `inner_msg_grok_failure` ocorre.
principal_hostname	read_only_udm.principal.hostname	O valor do campo `principal_hostname` do registro bruto.
timestamp	read_only_udm.metadata.event_timestamp.seconds	O carimbo de data/hora da época extraído do campo `timestamp` no registro bruto.
timestamp	read_only_udm.events.timestamp.seconds	O carimbo de data/hora da época extraído do campo `timestamp` no registro bruto.
	read_only_udm.additional.fields.key	Valor codificado: `Module`, `Node`
	read_only_udm.metadata.log_type	Valor codificado: `CISCO_VCS`
	read_only_udm.metadata.product_name	Valor codificado: `CISCO VCS`
	read_only_udm.metadata.vendor_name	Valor codificado: `CISCO VCS`
	read_only_udm.metadata.event_type	Determinado com base nos valores dos campos `Action`, `Src-ip`, `principal_hostname`, `Local-ip` e `Dst-ip`: - `NETWORK_CONNECTION`: se (`Action` for `Received` e `Local-ip` estiver presente) ou (`Action` não for `Received` e `Dst-ip` estiver presente) - `STATUS_UPDATE`: caso contrário

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.