Recoger registros de Cisco Wireless LAN Controller (WLC)

Disponible en:

En este documento se explica cómo ingerir registros de Cisco Wireless LAN Controller (WLC) en Google Security Operations mediante Bindplane. El analizador extrae campos de los mensajes syslog y gestiona los formatos JSON y de texto sin formato. Usa patrones grok para identificar campos clave, como marcas de tiempo, gravedad y contenido de mensajes. Después, rellena el modelo UDM con los datos extraídos, incluida la información principal e intermedia cuando esté disponible en los registros.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Acceso con privilegios a los controladores de LAN inalámbrica de Cisco
  • Controladores de LAN inalámbrica de Cisco con software AireOS 8.8.111.0 o versiones posteriores

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.
    • Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Cisco WLC (GUI)

  1. Inicia sesión en la interfaz de usuario web de WLC.
  2. Ve a Gestión > Registros > Configuración.
  3. Introduce la dirección IP del agente de Bindplane en el campo Dirección IP del servidor Syslog.
  4. Haz clic en Añadir.
  5. Proporcione los siguientes detalles de configuración:
    • Gravedad de Syslog: selecciona Informativa.
    • Instalación de Syslog: selecciona Uso local 0.
  6. Haz clic en Aplicar.

  7. Haz clic en Guardar configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
action_data read_only_udm.security_result.action_details Se asigna directamente desde el campo action_data.
data read_only_udm.metadata.description Se asigna directamente desde el campo data después de un procesamiento (por ejemplo, se eliminan las marcas de tiempo y los caracteres adicionales). Se extrae de la marca de tiempo que aparece al principio del mensaje de registro. El analizador sintáctico gestiona varios formatos. Se determina en función de los campos mnemonic y messageToProcess mediante una lógica compleja en el archivo cisco_wireless.include. Se ha definido como "CISCO_WIRELESS". Concatenación de los campos facility, cisco_severity y mnemonic. Se extrae del mensaje de registro cuando está disponible. Se ha definido como "CISCO_WIRELESS". Se extrae del campo version cuando está disponible. Asigna el valor "CISCO". Se define como "DHCP" cuando el evento está relacionado con DHCP. Se define como "BROADCAST" para los eventos de cadenas de televisión. Se define como "UDP" para los eventos de red UDP. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se asignan desde los campos wlc_controller o hostname, en función del formato del registro. Se extrae de la descripción o de MessageSourceAddress cuando está disponible. Se asignan desde los campos wlc_controller o hostname, en función del formato del registro. Se extrae de la descripción o de MessageSourceAddress cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se crea a partir de los campos SourceModuleName y SourceModuleType cuando están disponibles. Se asigna desde read_only_udm.principal.user.userid cuando el ID de usuario parece una dirección de correo electrónico. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se determina en función del tipo y la descripción del evento. Se determina en función del tipo y la descripción del evento. Se crea a partir de campos específicos de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. A veces, combina información de varios campos. Se determina en función del campo cisco_severity y del tipo de evento. Derivado del campo read_only_udm.security_result.severity. Un resumen conciso del resultado de seguridad, derivado de la descripción y el tipo de evento. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se asigna el valor "SETTING" a los eventos de modificación de ajustes. Se extrae de la descripción cuando está disponible.
event_data read_only_udm.metadata.product_event_type Se asigna directamente desde el campo event_data.
event_id read_only_udm.metadata.product_log_id Se asigna directamente desde el campo event_id.
event_ts read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo event_ts.
facility read_only_udm.metadata.product_event_type Se asigna directamente desde el campo facility.
hostname read_only_udm.principal.hostname Se asigna directamente desde el campo hostname.
hostname read_only_udm.target.hostname Se asigna directamente desde el campo hostname.
inter_mac read_only_udm.intermediary.mac Se asigna directamente desde el campo inter_mac.
intermediary_hostname read_only_udm.intermediary.hostname Se asigna directamente desde el campo intermediary_hostname.
kv_data read_only_udm.principal.resource.attribute.labels Se analizan como pares clave-valor y se usan para rellenar etiquetas.
log_message read_only_udm.security_result.description Se asigna directamente desde el campo log_message.
MessageSourceAddress read_only_udm.principal.asset.ip Se asigna directamente desde el campo MessageSourceAddress.
MessageSourceAddress read_only_udm.principal.ip Se asigna directamente desde el campo MessageSourceAddress.
messageToProcess read_only_udm.metadata.description Se asigna directamente desde el campo messageToProcess después de un procesamiento.
mnemonic read_only_udm.metadata.event_type Se usa junto con otros campos para determinar el tipo de evento.
mnemonic read_only_udm.metadata.product_event_type Se asigna directamente desde el campo mnemonic.
severity_data read_only_udm.security_result.severity Se asigna desde el campo severity_data después de convertirlo en un valor de enumeración.
SourceModuleName read_only_udm.principal.resource.attribute.labels Se asigna directamente desde el campo SourceModuleName.
SourceModuleType read_only_udm.principal.resource.attribute.labels Se asigna directamente desde el campo SourceModuleType.
timestamp read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo timestamp.
version read_only_udm.metadata.product_version Se asigna directamente desde el campo version.
wlc_controller read_only_udm.principal.hostname Se asigna directamente desde el campo wlc_controller.
wlc_controller read_only_udm.target.hostname Se asigna directamente desde el campo wlc_controller.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.