Cisco APIC ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Cisco APIC ログを Google Security Operations に取り込む方法について説明します。パーサーは syslog 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
  • Cisco APIC 管理コンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    2. テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Specify the log type that matches your Chronicle feed configuration
    # Commonly used: CISCO_ACI or CISCO_APIC depending on your setup
    log_type: 'CISCO_APIC'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
    • <customer_id> は、実際の顧客 ID に置き換えます。
    • /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
    • log_type の値が、Google SecOps フィード構成で選択したログタイプと一致していることを確認します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

Cisco APIC で Syslog 転送を構成する

管理契約を構成する

  1. Cisco APIC コンソールにログインします。
  2. [テナント> 管理 > セキュリティ ポリシー] に移動します。
  3. 管理コントラクトでポート 514 の UDP が許可されていることを確認します。
    • アウトオブバンド管理の場合: OOB 契約で UDP ポート 514 が許可されていることを確認します。
    • インバンド管理の場合: INB 契約で UDP ポート 514 が許可されていることを確認します。
  4. 必要に応じて、フィルタを作成または変更して、選択した管理 EPG の UDP ポート 514 を許可します。

Syslog モニタリングの宛先グループを作成する

  1. [管理] > [外部データ コレクタ] > [モニタリングの宛先] > [Syslog] に移動します。
  2. [+] 記号をクリックして、Syslog モニタリングの宛先グループを作成します。
  3. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Google SecOps Syslog)。
    • 説明: 説明を入力します(例: Syslog destination for Google SecOps)。
    • 管理状態: [有効] を選択します。
    • 形式: [aci](推奨)または [nxos] を選択します。
  4. [次へ] をクリックします。
  5. [Create Syslog Remote Destination] セクションで、次の構成の詳細を指定します。
    • ホスト名/IP: BindPlane Agent の IP アドレスを入力します。
    • 名前: 宛先のわかりやすい名前を入力します。
    • 管理状態: [有効] を選択します。
    • 重大度: [情報](または任意の重大度レベル)を選択します。
    • ポート: 514(または BindPlane Agent で構成されたポート)を入力します。
    • 管理 EPG: 適切な管理 EPG を選択します。
      • OOB 管理の default(アウトオブバンド)
      • インバンド管理用の inb-default
    • 転送機能: local7(または任意の機能)を選択します。
  6. [OK] をクリックします。
  7. 構成を確認して、[完了] をクリックします。

ファブリック ポリシーの Syslog ソースを構成する

  1. [Fabric] > [Fabric Policies] > [Monitoring Policies] に移動します。
  2. [default] を展開し、[Callhome/SNMP/Syslog] を選択します。
  3. [+] 記号をクリックして、syslog ソースを作成します。
  4. 次の構成の詳細を入力します。
    • ソース名: 名前を入力します(例: fabric-syslog-source)。
    • 最小重大度: [情報] を選択します。
    • 含める: [すべて選択] を選択して、監査ログ、イベント、障害、セッション ログを含めます。
    • 移行先グループ: 先ほど作成した syslog モニタリングの移行先グループを選択します。
  5. [送信] をクリックします。

共通ポリシーの Syslog ソースを構成する

  1. [Fabric] > [Fabric Policies] > [Monitoring Policies] に移動します。
  2. [common] を展開し、[Callhome/SNMP/Syslog] を選択します。
  3. [+] をクリックして、syslog ソースを作成します。
  4. 次の構成の詳細を入力します。
    • ソース名: 名前を入力します(例: common-syslog-source)。
    • 最小重大度: [情報] を選択します。
    • 含める: [すべて選択] を選択して、監査ログ、イベント、障害、セッション ログを含めます。
    • 移行先グループ: 先ほど作成した syslog モニタリングの移行先グループを選択します。
  5. [送信] をクリックします。

アクセス ポリシーの Syslog ソースを構成する

  1. [Fabric> Access Policies> Monitoring Policies] に移動します。
  2. [default] を展開し、[Callhome/SNMP/Syslog] を選択します。
  3. [+] 記号をクリックして、syslog ソースを作成します。
  4. 次の構成の詳細を入力します。
    • ソース名: 名前を入力します(例: access-syslog-source)。
    • 最小重大度: [情報] を選択します。
    • 含める: [すべて選択] を選択して、監査ログ、イベント、障害、セッション ログを含めます。
    • 移行先グループ: 先ほど作成した syslog モニタリングの移行先グループを選択します。
  5. [送信] をクリックします。

システム メッセージ ポリシーを構成する(省略可)

  1. [Fabric] > [Fabric Policies] > [Monitoring Policies] に移動します。
  2. [common > System Message Policies] を開きます。
  3. [Policy for System Syslog Messages] を選択します。
  4. デフォルトの施設を選択します。
  5. [重大度] を [情報] に変更します。
  6. [更新] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。