Recoger registros del sistema de prevención de intrusiones inalámbrico (WIPS) de Cisco

Disponible en:

En este documento se explica cómo ingerir registros de Cisco Wireless Intrusion Prevention System (WIPS) en Google Security Operations mediante Bindplane. El analizador extrae pares clave-valor de los mensajes syslog y, a continuación, asigna esos valores a los campos del modelo de datos unificado (UDM). Determina el event_type adecuado en función de la presencia de información sobre la entidad de seguridad, el objetivo y el usuario, y clasifica los eventos de seguridad en función de eventType y otros campos.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Acceso privilegiado al punto de acceso (AP) o al controlador de LAN inalámbrica (WLC) de Cisco

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.
    • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIPS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar el sistema de prevención de intrusiones inalámbrico adaptativo (aWIPS) en Cisco Catalyst

  1. Inicia sesión en Cisco Catalyst mediante SSH.

  2. Introduce la configuración global para habilitar aWIPS en el perfil del PA:

    configure terminal
ap profile <profile-name>
awips

  3. Configura el intervalo de limitación de syslog en 60 segundos:

    awips-syslog throttle period 60

Configurar Syslog con perfiles de AP de Cisco

  1. En el perfil de unión de AP (a través de la CLI):

    configure terminal
ap profile <profile-name>
  syslog host <Bindplane_IP_address>
  syslog level informational
  syslog facility local0
end

Configurar Syslog en Cisco WLC (GUI)

  1. Inicia sesión en la interfaz de usuario web de WLC.
  2. Ve a Gestión > Registros > Configuración.
  3. Introduce la dirección IP del agente de Bindplane en el campo Dirección IP del servidor Syslog.
  4. Haz clic en Añadir.
  5. Proporcione los siguientes detalles de configuración:
    • Gravedad de Syslog: selecciona Informativa.
    • Instalación de Syslog: selecciona Uso local 0.
  6. Haz clic en Aplicar.
  7. Haz clic en Guardar configuración.

Configurar Syslog en puntos de acceso mediante WLC (CLI)

  1. Host de syslog de AP global:

    config ap syslog host global <Bindplane_IP_address>

  2. Configura el host syslog del punto de acceso específico:

    config ap syslog host specific <AP-name> <Bindplane_IP_address>

  3. Defina la gravedad de syslog del punto de acceso:

    config ap logging syslog level informational

  4. Configura la instalación para los mensajes de AP:

    config logging syslog facility local0

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
applicationCategoryData security_result.summary Asignación directa.
applicationSpecificAlarmID target.resource.attribute.labels.applicationSpecificAlarmID Se ha convertido en una etiqueta del recurso de destino.
attackerMacAddr target.mac Asignación directa.
authEntityId principal.resource.attribute.labels.authEntityId Se ha convertido en una etiqueta del recurso principal.
category security_result.category_details Asignación directa.
detectingApCount target.resource.attribute.labels.detectingApCount Se ha convertido en una etiqueta del recurso de destino.
description metadata.description Asignación directa.
displayName principal.user.userid Se extrae mediante la expresión regular host/(?P<user_id>[\\w-]+) de displayName si el patrón coincide.
eventType metadata.product_event_type Asignación directa.
instanceId principal.resource.attribute.labels.instanceId Se ha convertido en una etiqueta del recurso principal.
instanceUuid metadata.product_log_id Asignación directa.
instanceVersion principal.resource.attribute.labels.instanceVersion Se ha convertido en una etiqueta del recurso principal.
macInfo target.resource.attribute.labels.macInfo Se ha convertido en una etiqueta del recurso de destino.
notificationDeliveryMechanism target.resource.attribute.labels.notificationDeliveryMechanism, network.ip_protocol Se ha convertido en una etiqueta del recurso de destino. Si el valor contiene "snmp" (sin distinguir entre mayúsculas y minúsculas), network.ip_protocol se define como "UDP".
previousSeverity target.resource.attribute.labels.previousSeverity Se ha convertido en una etiqueta del recurso de destino. Se asigna el valor "AUTHTYPE_UNSPECIFIED" si eventType es "USER_AUTHENTICATION_FAILURE" y user_id no está vacío. Copiado del timestamp del registro. Determinado por la lógica del analizador en función de varias condiciones:
"USER_LOGIN" si eventType es "USER_AUTHENTICATION_FAILURE" y user_id no está vacío.
"NETWORK_CONNECTION" si tanto is_target_present como is_principal_present son true.
"STATUS_UPDATE" si is_principal_present es true.
"USER_UNCATEGORIZED" si user_id no está vacío.
"GENERIC_EVENT" en caso contrario. Codificado como "CISCO_WIPS". Codificado como "Sistema de prevención de intrusos inalámbrico (WIPS)". Codificado como "Cisco". Se define como "UDP" si notificationDeliveryMechanism contiene "snmp" (sin distinción entre mayúsculas y minúsculas). Se asigna desde reportingEntityAddress o source si no son IPs. Se asigna desde reportingEntityAddress o source si son IPs. Se extrae mediante una expresión regular de source si es una dirección MAC. Se ha convertido en una etiqueta del recurso principal. Se ha convertido en una etiqueta del recurso principal.
reportingEntityAddress principal.ip, principal.hostname Si se trata de una dirección IP, se asigna a principal.ip. De lo contrario, se asigna a principal.hostname.
severity security_result.severity Se asigna en función de estas condiciones:
"CRITICAL" si severity es "0", "1", "CRITICAL" o "VERY-HIGH".
"HIGH" si severity es "2", "3", "4" o "HIGH".
"MEDIUM" si severity es "5" o "MEDIUM".
"LOW" si severity es "6", "7" o "LOW".
sigAlertDescription security_result.description Asignación directa.
signatureName target.resource.attribute.labels.signatureName Se ha convertido en una etiqueta del recurso de destino.
source principal.hostname, principal.ip, principal.mac Si se trata de una dirección IP, se asigna a principal.ip. Si se trata de una dirección MAC, se asigna a principal.mac. De lo contrario, se asigna a principal.hostname.
srcObjectClassId principal.resource.attribute.labels.srcObjectClassId Se ha convertido en una etiqueta del recurso principal.
srcObjectId principal.resource.attribute.labels.srcObjectId Se ha convertido en una etiqueta del recurso principal.
subclassName security_result.rule_name Asignación directa. Asigna el valor "BLOCK" si applicationSpecificAlarmID contiene "BlockList" (sin distinguir entre mayúsculas y minúsculas) o si eventType es uno de los siguientes valores: "SIGNATURE_ATTACK", "MALICIOUS_ROGUE_AP_DETECTED" o "USER_AUTHENTICATION_FAILURE". Determinado por la lógica del analizador en función de eventType:
"NETWORK_MALICIOUS" si eventType es "MALICIOUS_ROGUE_AP_DETECTED".
"NETWORK_SUSPICIOUS" si eventType es "SIGNATURE_ATTACK".
"AUTH_VIOLATION" si eventType es "USER_AUTHENTICATION_FAILURE".
timestamp metadata.event_timestamp Los campos seconds y nanos se asignan directamente.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.