Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Cisco Wireless LAN Controller (WLC)

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Cisco Wireless LAN Controller (WLC) para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog, processando formatos JSON e de texto simples. Usa padrões grok para identificar campos chave, incluindo data/hora, gravidade e conteúdo da mensagem, e, em seguida, preenche o modelo UDM com dados extraídos, incluindo informações principais e intermediárias quando disponíveis nos registos.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado aos controladores de LAN sem fios da Cisco
Controladores de LAN sem fios Cisco com o software AireOS 8.8.111.0 ou posterior

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.
- Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente BindPlane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no Cisco WLC (GUI)

Inicie sessão na IU Web do WLC.
Aceda a Gestão > Registos > Config.
Introduza o endereço IP do agente Bindplane no campo Endereço IP do servidor Syslog.
Clique em Adicionar.
Indique os seguintes detalhes de configuração:
- Gravidade do Syslog: selecione Informacional.
- Syslog Facility: selecione Local Use 0.
Clique em Aplicar.
Clique em Guardar configuração.

Nota: as mensagens Syslog são enviadas através do transporte UDP, usando a porta 514.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`action_data`	`read_only_udm.security_result.action_details`	Mapeado diretamente a partir do campo `action_data`.
`data`	`read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `data` após algum processamento (por exemplo, remoção de datas/horas, carateres adicionais). Extraído da data/hora no início da mensagem de registo. O analisador processa vários formatos. Determinado com base nos campos `mnemonic` e `messageToProcess` através de uma lógica complexa no ficheiro `cisco_wireless.include`. Definido como "CISCO_WIRELESS". Concatenação dos campos `facility`, `cisco_severity` e `mnemonic`. Extraído da mensagem de registo quando disponível. Definido como "CISCO_WIRELESS". Extraído do campo `version` quando disponível. Definido como "CISCO". Defina como "DHCP" quando o evento estiver relacionado com o DHCP. Definido como "BROADCAST" para eventos de rede de transmissão. Definido como "UDP" para eventos de rede UDP. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Mapeado a partir dos campos `wlc_controller` ou `hostname`, consoante o formato do registo. Extraído da descrição ou de `MessageSourceAddress`, quando disponível. Mapeado a partir dos campos `wlc_controller` ou `hostname`, consoante o formato do registo. Extraído da descrição ou de `MessageSourceAddress`, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Criado a partir dos campos `SourceModuleName` e `SourceModuleType` quando disponíveis. Mapeado a partir de `read_only_udm.principal.user.userid` quando o userid se assemelha a um endereço de email. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Determinado com base no tipo de evento e na descrição. Determinado com base no tipo de evento e na descrição. Criado a partir de campos específicos na descrição, quando disponíveis. Extraído da descrição, quando disponível. Por vezes, combina informações de vários campos. Determinado com base no campo `cisco_severity` e no tipo de evento. Derivado do campo `read_only_udm.security_result.severity`. Um resumo conciso do resultado de segurança, derivado da descrição e do tipo de evento. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Extraído da descrição, quando disponível. Definido como "SETTING" para eventos de modificação de definições. Extraído da descrição, quando disponível.
`event_data`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `event_data`.
`event_id`	`read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `event_id`.
`event_ts`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente a partir do campo `event_ts`.
`facility`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `facility`.
`hostname`	`read_only_udm.principal.hostname`	Mapeado diretamente a partir do campo `hostname`.
`hostname`	`read_only_udm.target.hostname`	Mapeado diretamente a partir do campo `hostname`.
`inter_mac`	`read_only_udm.intermediary.mac`	Mapeado diretamente a partir do campo `inter_mac`.
`intermediary_hostname`	`read_only_udm.intermediary.hostname`	Mapeado diretamente a partir do campo `intermediary_hostname`.
`kv_data`	`read_only_udm.principal.resource.attribute.labels`	Analisados como pares de chave-valor e usados para preencher etiquetas.
`log_message`	`read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `log_message`.
`MessageSourceAddress`	`read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `MessageSourceAddress`.
`MessageSourceAddress`	`read_only_udm.principal.ip`	Mapeado diretamente a partir do campo `MessageSourceAddress`.
`messageToProcess`	`read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `messageToProcess` após algum processamento.
`mnemonic`	`read_only_udm.metadata.event_type`	Usado em conjunto com outros campos para determinar o tipo de evento.
`mnemonic`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente a partir do campo `mnemonic`.
`severity_data`	`read_only_udm.security_result.severity`	Mapeado a partir do campo `severity_data` após a conversão num valor de enumeração.
`SourceModuleName`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente a partir do campo `SourceModuleName`.
`SourceModuleType`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente a partir do campo `SourceModuleType`.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente a partir do campo `timestamp`.
`version`	`read_only_udm.metadata.product_version`	Mapeado diretamente a partir do campo `version`.
`wlc_controller`	`read_only_udm.principal.hostname`	Mapeado diretamente a partir do campo `wlc_controller`.
`wlc_controller`	`read_only_udm.target.hostname`	Mapeado diretamente a partir do campo `wlc_controller`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.