Diese Seite wurde von der Cloud Translation API übersetzt.

Cisco eStreamer-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco eStreamer-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den SYSLOG-Nachrichten im Schlüssel/Wert-Format. Dazu wird „grok“ verwendet, um die ursprüngliche Nachricht zu parsen, und „kv“, um die Schlüssel/Wert-Daten zu verarbeiten. Anschließend werden diese extrahierten Felder dem Unified Data Model (UDM) zugeordnet, wobei verschiedene Datentypen verarbeitet und das Ereignis mit Metadaten wie dem Ereignistyp angereichert wird, basierend auf dem Vorhandensein von Informationen zu Prinzipal und Ziel.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows Server 2012 SP2-Host oder höher oder ein Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf das Cisco Firepower Management Center (FMC)
Ein Linux-System zum Ausführen des eNcore-Befehlszeilenclients

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /opt/observiq-otel-collector/ oder unter Windows im Verzeichnis „C:\Programme\observIQ OpenTelemetry Collector“.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CISCO_ESTREAMER'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung auf Cisco eStreamer konfigurieren

eStreamer im Firepower Management Center konfigurieren

Melden Sie sich im Firepower Management Center an.
Gehen Sie zu System> Integration > eStreamer.
Klicken Sie auf eStreamer, um auf die eStreamer-Ereigniskonfiguration zuzugreifen.
Klicken Sie die Kästchen neben den Ereignistypen an, die erfasst werden sollen:
- Einbruchserkennung: Für Einbruchserkennungsereignisse
- Paketdaten für Einbruchserkennung: Für Paketerfassungen, die mit Einbruchserkennungsereignissen verknüpft sind
- Verbindungsereignisse: Für Daten zur Netzwerkverbindung
- Security Intelligence Events: Für Daten zu Cyberbedrohungen
- Datei-Ereignisse: Für Ereignisse zur Dateianalyse
- Malware-Ereignisse: Für Ereignisse zur Malware-Erkennung
Klicken Sie auf Speichern.

eStreamer-Client erstellen

Klicken Sie auf der Seite eStreamer auf Client erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Hostname: Geben Sie die IP-Adresse des Linux-Systems ein, auf dem der eNcore-Client ausgeführt wird.
- Passwort: Geben Sie ein Passwort ein, um die Zertifikatsdatei zu verschlüsseln.
Klicken Sie auf Speichern.
Laden Sie die generierte PKCS12-Zertifikatsdatei herunter und übertragen Sie sie auf Ihr eNcore-Clientsystem.

eNcore CLI-Client installieren und konfigurieren

Laden Sie auf Ihrem Linux-System den eStreamer eNcore CLI-Client von Cisco herunter.

Extrahieren Sie das eNcore-Paket:

tar -xzf eStreamer-eNcore-*.tar.gz
cd eStreamer-eNcore-*

Führen Sie das Setupscript aus:
```
./encore.sh setup
```
Wählen Sie bei Aufforderung das Ausgabeformat für Schlüssel/Wert-Paare aus (kompatibel mit SIEM-Systemen).
Geben Sie die FMC-IP-Adresse und das PKCS12-Zertifikatspasswort ein.

Konfigurieren Sie die Datei estreamer.conf so, dass Syslog-Nachrichten an Ihren Bindplane-Agent ausgegeben werden:

Öffnen Sie die Datei estreamer.conf in einem Texteditor.

Suchen Sie den Abschnitt „outputters“ und konfigurieren Sie ihn so, dass Syslog an Ihren BindPlane-Agenten gesendet wird:

{
  "handler": {
    "outputters": [
      {
        "name": "syslog",
        "adapter": "kvpair",
        "enabled": true,
        "stream": {
          "uri": "udp://BINDPLANE_AGENT_IP:514"
        }
      }
    ]
  }
}

Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse Ihres Bindplane-Agents.

eNcore Client starten

Verbindung im Vordergrundmodus testen:
```
./encore.sh foreground
```
Nach der Bestätigung starten Sie eNcore als Hintergrunddienst:
```
./encore.sh start
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`act`	`security_result.action_details`	Der Wert von `act` aus dem Rohlog wird diesem Feld zugewiesen.
`act`	`security_result.action`	Wenn der Wert von `act` „Allow“ (Groß-/Kleinschreibung wird nicht beachtet) lautet, wird diesem Feld der Wert „ALLOW“ zugewiesen.
`app`	`network.http.user_agent`	Der Wert von `app` (im Parser in `requestClientApplication` umbenannt) aus dem Rohlog wird diesem Feld zugewiesen.
`blockLength`	`security_result.detection_fields[].key`	Diesem Feld wird der String „blocklength“ zugewiesen.
`blockLength`	`security_result.detection_fields[].value`	Der Wert von `blockLength` aus dem Rohlog, der in einen String konvertiert wurde, wird diesem Feld zugewiesen.
`blockType`	`security_result.detection_fields[].key`	Diesem Feld wird der String „blockType“ zugewiesen.
`blockType`	`security_result.detection_fields[].value`	Der Wert von `blockType` aus dem Rohlog, der in einen String konvertiert wurde, wird diesem Feld zugewiesen.
`bytesIn`	`network.received_bytes`	Der Wert von `bytesIn` aus dem Rohlog wird diesem Feld zugewiesen und in eine vorzeichenlose Ganzzahl konvertiert.
`bytesOut`	`network.sent_bytes`	Der Wert von `bytesOut` aus dem Rohlog wird diesem Feld zugewiesen und in eine vorzeichenlose Ganzzahl konvertiert.
`cat`	`security_result.category_details`	Der Wert von `cat` aus dem Rohlog wird diesem Feld zugewiesen.
`cs1`	`security_result.detection_fields[].value`	Der Wert von `cs1` aus dem Rohlog wird diesem Feld zugewiesen.
`cs1Label`	`security_result.detection_fields[].key`	Der Wert von `cs1Label` aus dem Rohlog wird diesem Feld zugewiesen.
`cs2`	`security_result.detection_fields[].value`	Der Wert von `cs2` aus dem Rohlog wird diesem Feld zugewiesen.
`cs2Label`	`security_result.detection_fields[].key`	Der Wert von `cs2Label` aus dem Rohlog wird diesem Feld zugewiesen.
`cs3`	`security_result.detection_fields[].value`	Der Wert von `cs3` aus dem Rohlog wird diesem Feld zugewiesen.
`cs3Label`	`security_result.detection_fields[].key`	Der Wert von `cs3Label` aus dem Rohlog wird diesem Feld zugewiesen.
`cs4`	`security_result.detection_fields[].value`	Der Wert von `cs4` aus dem Rohlog wird diesem Feld zugewiesen.
`cs4Label`	`security_result.detection_fields[].key`	Der Wert von `cs4Label` aus dem Rohlog wird diesem Feld zugewiesen.
`cs5`	`security_result.detection_fields[].value`	Der Wert von `cs5` aus dem Rohlog wird diesem Feld zugewiesen.
`cs5Label`	`security_result.detection_fields[].key`	Der Wert von `cs5Label` aus dem Rohlog wird diesem Feld zugewiesen.
`cs6`	`security_result.detection_fields[].value`	Der Wert von `cs6` aus dem Rohlog wird diesem Feld zugewiesen.
`cs6`	`security_result.rule_id`	Der Wert von `cs6` aus dem Rohlog wird diesem Feld zugewiesen.
`cs6Label`	`security_result.detection_fields[].key`	Der Wert von `cs6Label` aus dem Rohlog wird diesem Feld zugewiesen.
`data`	`security_result.detection_fields[].value`	Der Wert von `data` aus dem JSON-Objekt `suser` im Rohlog wird diesem Feld zugewiesen, wenn das Feld `suser` ein JSON ist.
`deviceInboundInterface`	`additional.fields[].key`	Diesem Feld wird der String „deviceInboundInterface“ zugewiesen.
`deviceInboundInterface`	`additional.fields[].value.string_value`	Der Wert von `deviceInboundInterface` aus dem Rohlog wird diesem Feld zugewiesen.
`deviceOutboundInterface`	`additional.fields[].key`	Diesem Feld wird der String „deviceOutboundInterface“ zugewiesen.
`deviceOutboundInterface`	`additional.fields[].value.string_value`	Der Wert von `deviceOutboundInterface` aus dem Rohlog wird diesem Feld zugewiesen.
`dpt`	`target.port`	Der Wert von `dpt` aus dem Rohlog wird diesem Feld zugewiesen und in eine Ganzzahl konvertiert.
`dst`	`target.asset.ip`	Der Wert von `dst` aus dem Rohlog wird diesem Feld zugewiesen.
`dst`	`target.ip`	Der Wert von `dst` aus dem Rohlog wird diesem Feld zugewiesen.
`dvcpid`	`security_result.about.process.pid`	Der Wert von `dvcpid` aus dem Rohlog wird diesem Feld zugewiesen.
`dvchost`	`target.asset.hostname`	Der Wert von `dvchost` aus dem Rohlog wird diesem Feld zugewiesen.
`dvchost`	`target.hostname`	Der Wert von `dvchost` aus dem Rohlog wird diesem Feld zugewiesen.
`hostname`	`principal.asset.hostname`	Der Wert von `hostname` aus dem Rohlog wird diesem Feld zugewiesen.
`hostname`	`principal.hostname`	Der Wert von `hostname` aus dem Rohlog wird diesem Feld zugewiesen. Wird durch die Parserlogik auf Grundlage der `principal`- und `target`-Informationen bestimmt. Wenn beide vorhanden sind, lautet der Wert „NETWORK_CONNECTION“. Wenn nur `principal` vorhanden ist, lautet der Wert „STATUS_UPDATE“. Wenn nur `target` vorhanden ist, lautet der Wert „USER_UNCATEGORIZED“. Andernfalls ist der Wert „GENERIC_EVENT“.
`product_event_type`	`metadata.product_event_type`	Der Wert von `product_event_type` aus dem Rohlog wird diesem Feld zugewiesen.
`product_name`	`metadata.product_name`	Der Wert von `product_name` aus dem Rohlog wird diesem Feld zugewiesen.
`proto`	`network.ip_protocol`	Der Wert von `proto` aus dem Rohlog wird in eine Ganzzahl umgewandelt und dann dem entsprechenden IP-Protokollnamen zugeordnet (z.B. 6 wird zu TCP, 17 zu UDP) mithilfe einer Lookup-Funktion, die aus „parse_ip_protocol.include“ stammt.
`severity`	`security_result.severity_details`	Der Wert von `severity` aus dem Rohlog wird diesem Feld zugewiesen.
`spt`	`principal.port`	Der Wert von `spt` aus dem Rohlog wird diesem Feld zugewiesen und in eine Ganzzahl konvertiert.
`src`	`principal.asset.ip`	Der Wert von `src` aus dem Rohlog wird diesem Feld zugewiesen.
`src`	`principal.ip`	Der Wert von `src` aus dem Rohlog wird diesem Feld zugewiesen.
`suser`	`security_result.detection_fields[].value`	Der Wert von `suser` aus dem Rohlog wird diesem Feld zugewiesen, wenn es sich nicht um ein JSON-Objekt handelt. Wenn es sich um ein JSON handelt, wird das Feld `data` aus dem `suser`-Objekt verwendet.
`suser`	`security_result.detection_fields[].key`	Diesem Feld wird der String „suser“ zugewiesen.
`ts`	`metadata.event_timestamp`	Der Wert von `ts` aus dem Rohlog wird als Zeitstempel geparst und diesem Feld zugewiesen. Es werden mehrere Zeitstempelformate ausprobiert, bis eine erfolgreiche Analyse erfolgt.
`vendor_name`	`metadata.vendor_name`	Der Wert von `vendor_name` aus dem Rohlog wird diesem Feld zugewiesen.
`version`	`metadata.product_version`	Der Wert von `version` aus dem Rohlog wird diesem Feld zugewiesen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten