Esta página foi traduzida pela API Cloud Translation.

Coletar registros do controlador de LAN sem fio (WLC) da Cisco

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cisco Wireless LAN Controller (WLC) no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens syslog, processando formatos JSON e de texto simples. Ele usa padrões grok para identificar campos-chave, incluindo carimbos de data/hora, gravidade e conteúdo da mensagem, e preenche o modelo UDM com dados extraídos, incluindo informações principais e intermediárias quando disponíveis nos registros.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Acesso privilegiado aos controladores de LAN sem fio da Cisco
Controladores de LAN sem fio da Cisco com software AireOS 8.8.111.0 ou mais recente

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do BindPlane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no WLC da Cisco (GUI)

Faça login na UI da Web do WLC.
Acesse Gerenciamento > Registros > Configuração.
Insira o endereço IP do agente do Bindplane no campo Endereço IP do servidor Syslog.
Clique em Adicionar.
Informe os seguintes detalhes de configuração:
- Gravidade do Syslog: selecione Informativa.
- Facilidade do Syslog: selecione Uso local 0.
Clique em Aplicar.
Clique em Save Configuration.

Observação: as mensagens syslog são enviadas pelo transporte UDP usando a porta 514.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`action_data`	`read_only_udm.security_result.action_details`	Mapeado diretamente do campo `action_data`.
`data`	`read_only_udm.metadata.description`	Mapeado diretamente do campo `data` após algum processamento (por exemplo, remoção de carimbos de data/hora, caracteres extras). Extraído do carimbo de data/hora no início da mensagem de registro. Vários formatos são processados pelo analisador. Determinado com base nos campos `mnemonic` e `messageToProcess` usando uma lógica complexa no arquivo `cisco_wireless.include`. Defina como "CISCO_WIRELESS". Concatenação dos campos `facility`, `cisco_severity` e `mnemonic`. Extraído da mensagem de registro quando disponível. Defina como "CISCO_WIRELESS". Extraído do campo `version` quando disponível. Defina como "CISCO". Definido como "DHCP" quando o evento está relacionado a DHCP. Definido como "BROADCAST" para eventos de rede de transmissão. Definido como "UDP" para eventos de rede UDP. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Mapeado dos campos `wlc_controller` ou `hostname`, dependendo do formato do registro. Extraído da descrição ou do `MessageSourceAddress` quando disponível. Mapeado dos campos `wlc_controller` ou `hostname`, dependendo do formato do registro. Extraído da descrição ou do `MessageSourceAddress` quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Criado com base nos campos `SourceModuleName` e `SourceModuleType` quando disponíveis. Mapeado de `read_only_udm.principal.user.userid` quando o userid parece um endereço de e-mail. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Determinado com base no tipo e na descrição do evento. Determinado com base no tipo e na descrição do evento. Criado com base em campos específicos na descrição, quando disponível. Extraído da descrição quando disponível. Às vezes, combina informações de vários campos. Determinado com base no campo `cisco_severity` e no tipo de evento. Derivado do campo `read_only_udm.security_result.severity`. Um resumo conciso do resultado de segurança, derivado da descrição e do tipo de evento. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Definido como "SETTING" para eventos de modificação de configuração. Extraído da descrição quando disponível.
`event_data`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `event_data`.
`event_id`	`read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `event_id`.
`event_ts`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `event_ts`.
`facility`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `facility`.
`hostname`	`read_only_udm.principal.hostname`	Mapeado diretamente do campo `hostname`.
`hostname`	`read_only_udm.target.hostname`	Mapeado diretamente do campo `hostname`.
`inter_mac`	`read_only_udm.intermediary.mac`	Mapeado diretamente do campo `inter_mac`.
`intermediary_hostname`	`read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `intermediary_hostname`.
`kv_data`	`read_only_udm.principal.resource.attribute.labels`	Analisados como pares de chave-valor e usados para preencher rótulos.
`log_message`	`read_only_udm.security_result.description`	Mapeado diretamente do campo `log_message`.
`MessageSourceAddress`	`read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `MessageSourceAddress`.
`MessageSourceAddress`	`read_only_udm.principal.ip`	Mapeado diretamente do campo `MessageSourceAddress`.
`messageToProcess`	`read_only_udm.metadata.description`	Mapeado diretamente do campo `messageToProcess` após algum processamento.
`mnemonic`	`read_only_udm.metadata.event_type`	Usado com outros campos para determinar o tipo de evento.
`mnemonic`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `mnemonic`.
`severity_data`	`read_only_udm.security_result.severity`	Mapeado do campo `severity_data` após a conversão para um valor de enumeração.
`SourceModuleName`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente do campo `SourceModuleName`.
`SourceModuleType`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente do campo `SourceModuleType`.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `timestamp`.
`version`	`read_only_udm.metadata.product_version`	Mapeado diretamente do campo `version`.
`wlc_controller`	`read_only_udm.principal.hostname`	Mapeado diretamente do campo `wlc_controller`.
`wlc_controller`	`read_only_udm.target.hostname`	Mapeado diretamente do campo `wlc_controller`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.