收集 Cisco Application Control Engine (ACE) 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Cisco Application Control Engine (ACE) 日志注入到 Google Security Operations。解析器从 SYSLOG 消息中提取与安全相关的信息。它使用正则表达式来识别特定事件类型,提取源 IP 地址、目标 IP 地址和端口等关键数据点,并将其构建为统一数据模型 (UDM),以便进行一致的分析。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口处于开放状态
- 对 Cisco Application Control Engine 的特权访问
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_ACE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Cisco Application Control Engine (ACE) 上配置 syslog
- 登录 Cisco ACE 设备。
- 依次前往主菜单 > 高级选项 > Syslog 配置。
- 点击 Add First Server,然后点击 OK。
- 在“第一个 Syslog 服务器”字段中,输入 Bindplane 代理 IP 地址和端口号。
- 点击确定,系统将使用新设置重启。
- 再次点击确定。
- 点击发回。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action_details | 从 action 字段获取的值(在执行小写字母转换操作后)。 |
| 操作 | security_result.action | 如果 action 为 built,则设置为 ALLOW。如果 action 为 teardown,则设置为 BLOCK。 |
| 字节 | network.sent_bytes | 仅当 event_id 为 302025 时才填充。 |
| dst_interface | target.resource.attribute.labels.value | |
| dst_ip | target.ip | |
| dst_port | target.port | |
| event_id | metadata.product_event_type | |
| icmp_code_laddr | additional.fields.value.string_value | 密钥为 icmp_code_laddr。 |
| icmp_code_xlated | additional.fields.value.string_value | 密钥为 icmp_code_xlated。 |
| icmp_seq_num | additional.fields.value.string_value | 密钥为 icmp_seq_num。 |
| 协议 | network.ip_protocol | |
| 协议 | metadata.description | 用于填充特定活动类型的说明。 |
| src_interface | principal.resource.attribute.labels.value | |
| src_ip | principal.ip | |
| src_port | principal.port | |
| 时间戳 | metadata.event_timestamp.seconds | 已转换为纪元秒数。 |
| metadata.log_type | 硬编码为 CISCO_ACE。 |
|
| metadata.event_type | 对于事件 ID 302024、302025、302022、302023、302026、302027,设置为 NETWORK_CONNECTION。对于事件 ID 400000,设置为 SCAN_UNCATEGORIZED。 |
|
| target.resource.attribute.labels.key | 硬编码为 Connection Interface。 |
|
| principal.resource.attribute.labels.key | 硬编码为 Connection Interface。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。