Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cisco Wireless Security Management (WiSM)

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cisco Wireless Security Management (WiSM) no Google Security Operations usando o Bindplane. O analisador extrai campos das mensagens do syslog, mapeia-os para o modelo de dados unificado (UDM) e categoriza eventos com base no campo cisco_mnemonic. Ele processa vários tipos de eventos, como logins, logoffs, conexões de rede e atualizações de status, extraindo informações relevantes, como nomes de usuário, endereços IP e MAC e detalhes de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Acesso privilegiado ao controlador de LAN sem fio (WLC) da Cisco

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WSM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Cisco WiSM

Faça login na UI da Web do Cisco Wireless LAN Controller.
Acesse Gerenciamento > Registros > Configuração.
Insira o endereço IP do agente do Bindplane no campo Endereço IP do servidor Syslog.
Clique em Adicionar.
Informe os seguintes detalhes de configuração:
- Gravidade do Syslog: selecione Informativa.
- Facilidade do Syslog: selecione Uso local 0.
- Nível de registro em buffer: selecione Informativo - Nível de gravidade 6.
- Nível de registro do console: selecione Informativo - Nível de gravidade 6.
- Marque a caixa de seleção Informações do arquivo para incluir informações sobre o arquivo de origem.
- Marque a caixa de seleção Proc Info para incluir informações do processo.
- Marque a caixa de seleção Informações de rastreamento para incluir informações de rastreamento.
Clique em Aplicar.
Clique em Save Configuration.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`cisco_facility`	`principal.resource.type`	Extraído do campo `cisco_tag` usando grok.
`cisco_message`	`metadata.description`	A mensagem original do registro bruto.
`cisco_tag`	`metadata.product_event_type`	A tag do registro bruto, que contém facilidade, gravidade e mnemônico.
`database`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "Database".
`hostname`	`intermediary.hostname`	Quando presente.
`intermediary_ip`	`intermediary.ip`	O endereço IP do dispositivo intermediário.
`principal_hostname`	`principal.hostname`	Quando presente.
`principal_ip`	`principal.ip`	Quando presente.
`principal_mac`	`principal.mac`	Quando presente. Formatado como hexadecimal separado por dois-pontos.
`principal_port`	`principal.port`	Quando presente. Convertido em número inteiro.
`principal_process_id`	`principal.process.pid`	Quando presente.
`profile`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "Profile".
`reason_message`	`security_result.summary`	Quando presente. Às vezes, também usado para `security_result.description`.
`target_ip`	`target.ip`	Quando presente.
`target_mac`	`target.mac`	Quando presente.
`terminal`	`target.hostname`	Quando presente.
`tls_local_ip`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "TLS local".
`tls_remote`	`security_result.detection_fields.value`	Quando presente, a chave é definida como "TLS Remote".
`username`	`principal.user.userid` (ou `target.user.userid` em eventos de saída)	Quando presente. Definido como "MECHANISM_UNSPECIFIED" em alguns casos pela lógica do analisador. Definido como "MACHINE" para eventos de login/logout pela lógica do analisador. Copiado do lote `create_time`. Determinado pela lógica do analisador com base em `cisco_mnemonic` e outros campos. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "CISCO_WSM" pela lógica do analisador. Definido como "BROADCAST" para eventos específicos pela lógica do analisador. Definido como "UDP" para eventos específicos pela lógica do analisador. Quando presente. Definido como "ALLOW" ou "BLOCK" para eventos específicos pela lógica do analisador. Definido como "AUTH_VIOLATION" para eventos específicos pela lógica do analisador. Definido para eventos específicos pela lógica do analisador, às vezes usando `reason_message`. Derivado de `cisco_severity` pela lógica do analisador. Derivado de `cisco_severity` pela lógica do analisador. Definido para eventos específicos pela lógica do analisador, às vezes usando `reason_message`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.