Recopila registros del controlador de LAN inalámbrica (WLC) de Cisco

Compatible con:

En este documento, se explica cómo transferir registros del controlador de LAN inalámbrica (WLC) de Cisco a Google Security Operations con Bindplane. El analizador extrae campos de los mensajes de syslog y controla los formatos JSON y de texto sin formato. Utiliza patrones de grok para identificar campos clave, como marcas de tiempo, gravedad y contenido del mensaje, y, luego, completa el modelo de UDM con los datos extraídos, incluida la información principal e intermedia cuando está disponible en los registros.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Acceso privilegiado a los controladores de LAN inalámbrica de Cisco
  • Controladores de LAN inalámbrica de Cisco que ejecutan software de AireOS 8.8.111.0 o posterior

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia.
    • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Cisco WLC (GUI)

  1. Accede a la IU web de WLC.
  2. Ve a Administración > Registros > Config.
  3. Ingresa la dirección IP del agente de Bindplane en el campo Dirección IP del servidor Syslog.
  4. Haz clic en Agregar.
  5. Proporciona los siguientes detalles de configuración:
    • Gravedad de Syslog: Selecciona Informativo.
    • Syslog Facility: Selecciona Local Use 0.
  6. Haz clic en Aplicar.

  7. Haz clic en Guardar configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
action_data read_only_udm.security_result.action_details Se asigna directamente desde el campo action_data.
data read_only_udm.metadata.description Se asigna directamente desde el campo data después de cierto procesamiento (p.ej., se quitan marcas de tiempo y caracteres adicionales). Se extrae de la marca de tiempo al comienzo del mensaje de registro. El analizador controla varios formatos. Se determina en función de los campos mnemonic y messageToProcess con lógica compleja dentro del archivo cisco_wireless.include. Se establece en "CISCO_WIRELESS". Concatenación de los campos facility, cisco_severity y mnemonic. Se extrae del mensaje de registro cuando está disponible. Se establece en "CISCO_WIRELESS". Se extrae del campo version cuando está disponible. Se establece en "CISCO". Se establece en "DHCP" cuando el evento se relaciona con DHCP. Se establece en "BROADCAST" para los eventos de la cadena de transmisión. Se establece en "UDP" para los eventos de red UDP. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se asigna desde los campos wlc_controller o hostname, según el formato del registro. Se extrae de la descripción o de MessageSourceAddress cuando está disponible. Se asigna desde los campos wlc_controller o hostname, según el formato del registro. Se extrae de la descripción o de MessageSourceAddress cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se crea a partir de los campos SourceModuleName y SourceModuleType cuando están disponibles. Se asigna desde read_only_udm.principal.user.userid cuando el ID de usuario parece una dirección de correo electrónico. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se determina en función del tipo y la descripción del evento. Se determina en función del tipo y la descripción del evento. Se crea a partir de campos específicos dentro de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. A veces, combina información de varios campos. Se determina según el campo cisco_severity y el tipo de evento. Se deriva del campo read_only_udm.security_result.severity. Es un resumen conciso del resultado de seguridad, derivado de la descripción y el tipo de evento. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se extrae de la descripción cuando está disponible. Se establece en "SETTING" para los eventos de modificación de la configuración. Se extrae de la descripción cuando está disponible.
event_data read_only_udm.metadata.product_event_type Se asigna directamente desde el campo event_data.
event_id read_only_udm.metadata.product_log_id Se asigna directamente desde el campo event_id.
event_ts read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo event_ts.
facility read_only_udm.metadata.product_event_type Se asigna directamente desde el campo facility.
hostname read_only_udm.principal.hostname Se asigna directamente desde el campo hostname.
hostname read_only_udm.target.hostname Se asigna directamente desde el campo hostname.
inter_mac read_only_udm.intermediary.mac Se asigna directamente desde el campo inter_mac.
intermediary_hostname read_only_udm.intermediary.hostname Se asigna directamente desde el campo intermediary_hostname.
kv_data read_only_udm.principal.resource.attribute.labels Se analizan como pares clave-valor y se usan para completar etiquetas.
log_message read_only_udm.security_result.description Se asigna directamente desde el campo log_message.
MessageSourceAddress read_only_udm.principal.asset.ip Se asigna directamente desde el campo MessageSourceAddress.
MessageSourceAddress read_only_udm.principal.ip Se asigna directamente desde el campo MessageSourceAddress.
messageToProcess read_only_udm.metadata.description Se asigna directamente desde el campo messageToProcess después de un procesamiento.
mnemonic read_only_udm.metadata.event_type Se usa junto con otros campos para determinar el tipo de evento.
mnemonic read_only_udm.metadata.product_event_type Se asigna directamente desde el campo mnemonic.
severity_data read_only_udm.security_result.severity Se asigna desde el campo severity_data después de convertirlo en un valor de enumeración.
SourceModuleName read_only_udm.principal.resource.attribute.labels Se asigna directamente desde el campo SourceModuleName.
SourceModuleType read_only_udm.principal.resource.attribute.labels Se asigna directamente desde el campo SourceModuleType.
timestamp read_only_udm.metadata.event_timestamp Se asigna directamente desde el campo timestamp.
version read_only_udm.metadata.product_version Se asigna directamente desde el campo version.
wlc_controller read_only_udm.principal.hostname Se asigna directamente desde el campo wlc_controller.
wlc_controller read_only_udm.target.hostname Se asigna directamente desde el campo wlc_controller.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.