Esta página foi traduzida pela API Cloud Translation.

Recolha registos de gestão de segurança sem fios (WiSM) da Cisco

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Cisco Wireless Security Management (WiSM) para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog, mapeia-os para o modelo de dados unificado (UDM) e categoriza os eventos com base no campo cisco_mnemonic. Processa vários tipos de eventos, como inícios de sessão, fins de sessão, ligações de rede e atualizações de estado, extraindo informações relevantes, como nomes de utilizador, endereços IP, endereços MAC e detalhes de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado ao controlador de LAN sem fios (WLC) da Cisco

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.
- Guarde o ficheiro de forma segura no sistema onde o BindPlane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WSM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no Cisco WiSM

Inicie sessão na IU Web do Cisco Wireless LAN Controller.
Aceda a Gestão > Registos > Configuração.
Introduza o endereço IP do agente Bindplane no campo Endereço IP do servidor Syslog.
Clique em Adicionar.
Indique os seguintes detalhes de configuração:
- Gravidade do Syslog: selecione Informacional.
- Syslog Facility: selecione Local Use 0.
- Nível de registo com buffer: selecione Informacional – Nível de gravidade 6.
- Nível do registo da consola: selecione Informacional – Nível de gravidade 6.
- Selecione a caixa de verificação Informações do ficheiro para incluir informações sobre o ficheiro de origem.
- Selecione a caixa de verificação Proc Info para incluir informações do processo.
- Selecione a caixa de verificação Informações de rastreio para incluir informações de rastreio.
Clique em Aplicar.
Clique em Guardar configuração.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`cisco_facility`	`principal.resource.type`	Extraído do campo `cisco_tag` através do grok.
`cisco_message`	`metadata.description`	A mensagem original do registo não processado.
`cisco_tag`	`metadata.product_event_type`	A etiqueta do registo não processado, que contém a funcionalidade, a gravidade e o mnemónico.
`database`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "Database".
`hostname`	`intermediary.hostname`	Quando presente.
`intermediary_ip`	`intermediary.ip`	O endereço IP do dispositivo intermediário.
`principal_hostname`	`principal.hostname`	Quando presente.
`principal_ip`	`principal.ip`	Quando presente.
`principal_mac`	`principal.mac`	Quando presente. Formatado como hexadecimal separado por dois pontos.
`principal_port`	`principal.port`	Quando presente. Convertido em número inteiro.
`principal_process_id`	`principal.process.pid`	Quando presente.
`profile`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "Profile".
`reason_message`	`security_result.summary`	Quando presente. Por vezes, também é usado para `security_result.description`.
`target_ip`	`target.ip`	Quando presente.
`target_mac`	`target.mac`	Quando presente.
`terminal`	`target.hostname`	Quando presente.
`tls_local_ip`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "TLS local".
`tls_remote`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "TLS remoto".
`username`	`principal.user.userid` (ou `target.user.userid` em eventos de fim de sessão)	Quando presente. Definido como "MECHANISM_UNSPECIFIED" em determinados casos pela lógica do analisador. Definido como "MACHINE" para eventos de início/fim de sessão pela lógica do analisador. Copiado do lote `create_time`. Determinado pela lógica do analisador com base em `cisco_mnemonic` e outros campos. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "BROADCAST" para eventos específicos pela lógica do analisador. Definido como "UDP" para eventos específicos pela lógica do analisador. Quando presente. Definir como "PERMITIR" ou "BLOQUEAR" para eventos específicos através da lógica do analisador. Definido como "AUTH_VIOLATION" para eventos específicos pela lógica do analisador. Definido para eventos específicos pela lógica do analisador, por vezes, usando `reason_message`. Derivado de `cisco_severity` pela lógica do analisador. Derivado de `cisco_severity` pela lógica do analisador. Definido para eventos específicos pela lógica do analisador, por vezes, usando `reason_message`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.