Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Cisco Wireless Security Management (WiSM)

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Cisco Wireless Security Management (WiSM) a Google Security Operations con Bindplane. El analizador extrae campos de los mensajes de syslog, los asigna al modelo de datos unificado (UDM) y categoriza los eventos según el campo cisco_mnemonic. Maneja varios tipos de eventos, como accesos, cierres de sesión, conexiones de red y actualizaciones de estado, y extrae información relevante, como nombres de usuario, direcciones IP, direcciones MAC y detalles de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Instancia de Google SecOps
Un host de Windows 2016 o posterior, o un host de Linux con systemd
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Acceso con privilegios al controlador de LAN inalámbrica (WLC) de Cisco

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia.
- Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WSM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en Cisco WiSM

Accede a la IU web del controlador de LAN inalámbrica de Cisco.
Ve a Management > Logs > Config.
Ingresa la dirección IP del agente de Bindplane en el campo Dirección IP del servidor Syslog.
Haz clic en Agregar.
Proporciona los siguientes detalles de configuración:
- Gravedad de Syslog: Selecciona Informativo.
- Syslog Facility: Selecciona Local Use 0.
- Buffered Log Level: Selecciona Informativo: nivel de gravedad 6.
- Console Log Level: Selecciona Informational - Severity level 6.
- Selecciona la casilla de verificación File Info para incluir información sobre el archivo fuente.
- Selecciona la casilla de verificación Proc Info para incluir información del proceso.
- Selecciona la casilla de verificación Trace Info para incluir información de seguimiento.
Haz clic en Aplicar.
Haz clic en Guardar configuración.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`cisco_facility`	`principal.resource.type`	Se extrae del campo `cisco_tag` con Grok.
`cisco_message`	`metadata.description`	Es el mensaje original del registro sin procesar.
`cisco_tag`	`metadata.product_event_type`	Es la etiqueta del registro sin procesar, que contiene la instalación, la gravedad y la mnemónica.
`database`	`security_result.detection_fields.value`	Cuando está presente, la clave se establece en "Database".
`hostname`	`intermediary.hostname`	Cuando está presente.
`intermediary_ip`	`intermediary.ip`	Es la dirección IP del dispositivo intermediario.
`principal_hostname`	`principal.hostname`	Cuando está presente.
`principal_ip`	`principal.ip`	Cuando está presente.
`principal_mac`	`principal.mac`	Cuando está presente. Formateado como hexadecimal separado por dos puntos.
`principal_port`	`principal.port`	Cuando está presente. Se convirtió en un número entero.
`principal_process_id`	`principal.process.pid`	Cuando está presente.
`profile`	`security_result.detection_fields.value`	Cuando está presente, la clave se establece en "Profile".
`reason_message`	`security_result.summary`	Cuando está presente. A veces, también se usa para `security_result.description`.
`target_ip`	`target.ip`	Cuando está presente.
`target_mac`	`target.mac`	Cuando está presente.
`terminal`	`target.hostname`	Cuando está presente.
`tls_local_ip`	`security_result.detection_fields.value`	Cuando está presente, la clave se establece en "TLS local".
`tls_remote`	`security_result.detection_fields.value`	Cuando está presente, la clave se establece en "TLS Remote".
`username`	`principal.user.userid` (o `target.user.userid` en eventos de cierre de sesión)	Cuando está presente. En algunos casos, la lógica del analizador establece este campo como "MECHANISM_UNSPECIFIED". Se establece en "MACHINE" para los eventos de acceso y salida según la lógica del analizador. Se copió del lote `create_time`. Se determina según la lógica del analizador en función de `cisco_mnemonic` y otros campos. La lógica del analizador lo establece en "CISCO_WSM". La lógica del analizador lo establece en "CISCO_WSM". La lógica del analizador lo establece en "CISCO_WSM". La lógica del analizador la establece en "BROADCAST" para eventos específicos. Se establece en "UDP" para eventos específicos según la lógica del analizador. Cuando está presente. La lógica del analizador lo establece como "ALLOW" o "BLOCK" para eventos específicos. La lógica del analizador lo establece como "AUTH_VIOLATION" para eventos específicos. Se establece para eventos específicos según la lógica del analizador, a veces con `reason_message`. Se deriva de `cisco_severity` según la lógica del analizador. Se deriva de `cisco_severity` según la lógica del analizador. Se establece para eventos específicos según la lógica del analizador, a veces con `reason_message`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.