Cisco eStreamer ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Cisco eStreamer ログを Google Security Operations に取り込む方法について説明します。パーサーは、grok を使用して最初のメッセージを解析し、kv を使用して Key-Value データを処理することで、SYSLOG メッセージから Key-Value 形式でフィールドを抽出します。次に、抽出されたフィールドを統合データモデル(UDM)にマッピングし、さまざまなデータ型を処理して、プリンシパルとターゲットの情報に基づいてイベントタイプなどのメタデータでイベントを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2012 SP2 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- Cisco Firepower Management Center(FMC)への特権アクセス
- eNcore CLI クライアントを実行する Linux システム
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux の場合は/opt/observiq-otel-collector/ディレクトリ、Windows の場合は `C:\Program Files\observIQ OpenTelemetry Collector` ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_ESTREAMER' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Cisco eStreamer で Syslog 転送を構成する
Firepower Management Center で eStreamer を構成する
- Firepower Management Center にログインします。
- [System] > [Integration] > [eStreamer] に移動します。
- [eStreamer] をクリックして、eStreamer イベント構成にアクセスします。
- キャプチャするイベントの種類の横にあるチェックボックスをオンにします。
- 侵入イベント: 侵入検出イベントの場合
- 侵入イベント パケットデータ: 侵入イベントに関連付けられたパケット キャプチャの場合
- 接続イベント: ネットワーク接続データの場合
- セキュリティ インテリジェンス イベント: 脅威インテリジェンス データ用
- ファイル イベント: ファイル分析イベントの場合
- マルウェア イベント: マルウェア検出イベント
- [保存] をクリックします。
eStreamer クライアントを作成する
- [eStreamer] ページで、[Create Client] をクリックします。
- 次の構成の詳細を入力します。
- Hostname: eNcore クライアントが実行される Linux システムの IP アドレスを入力します。
- パスワード: 証明書ファイルを暗号化するためのパスワードを入力します。
- [保存] をクリックします。
- 生成された PKCS12 証明書ファイルをダウンロードし、eNcore クライアント システムに転送します。
eNcore CLI クライアントをインストールして構成する
- Linux システムで、Cisco から eStreamer eNcore CLI クライアントをダウンロードします。
eNcore パッケージを抽出します。
tar -xzf eStreamer-eNcore-*.tar.gz cd eStreamer-eNcore-*設定スクリプトを実行します。
./encore.sh setupプロンプトが表示されたら、Key-Value ペアの出力形式(SIEM システムと互換性がある形式)を選択します。
FMC の IP アドレスと PKCS12 証明書のパスワードを入力します。
syslog メッセージを Bindplane エージェントに出力するように
estreamer.confファイルを構成します。- テキスト エディタで
estreamer.confファイルを開きます。 出力セクションを見つけて、syslog を Bindplane エージェントに送信するように構成します。
{ "handler": { "outputters": [ { "name": "syslog", "adapter": "kvpair", "enabled": true, "stream": { "uri": "udp://BINDPLANE_AGENT_IP:514" } } ] } }
- テキスト エディタで
BINDPLANE_AGENT_IPは、Bindplane エージェントの IP アドレスに置き換えます。
eNcore クライアントを起動する
フォアグラウンド モードで接続をテストします。
./encore.sh foreground確認が済んだら、バックグラウンド サービスとして eNcore を起動します。
./encore.sh start
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
act |
security_result.action_details |
未加工ログの act の値がこのフィールドに割り当てられます。 |
act |
security_result.action |
act の値が「Allow」(大文字と小文字を区別しない)の場合、値「ALLOW」がこのフィールドに割り当てられます。 |
app |
network.http.user_agent |
未加工ログの app(パーサーで requestClientApplication に名前変更)の値がこのフィールドに割り当てられます。 |
blockLength |
security_result.detection_fields[].key |
このフィールドには文字列「blocklength」が割り当てられます。 |
blockLength |
security_result.detection_fields[].value |
未加工ログの blockLength の値が文字列に変換され、このフィールドに割り当てられます。 |
blockType |
security_result.detection_fields[].key |
このフィールドには文字列「blockType」が割り当てられます。 |
blockType |
security_result.detection_fields[].value |
未加工ログの blockType の値が文字列に変換され、このフィールドに割り当てられます。 |
bytesIn |
network.received_bytes |
未加工ログの bytesIn の値がこのフィールドに割り当てられ、符号なし整数に変換されます。 |
bytesOut |
network.sent_bytes |
未加工ログの bytesOut の値がこのフィールドに割り当てられ、符号なし整数に変換されます。 |
cat |
security_result.category_details |
未加工ログの cat の値がこのフィールドに割り当てられます。 |
cs1 |
security_result.detection_fields[].value |
未加工ログの cs1 の値がこのフィールドに割り当てられます。 |
cs1Label |
security_result.detection_fields[].key |
未加工ログの cs1Label の値がこのフィールドに割り当てられます。 |
cs2 |
security_result.detection_fields[].value |
未加工ログの cs2 の値がこのフィールドに割り当てられます。 |
cs2Label |
security_result.detection_fields[].key |
未加工ログの cs2Label の値がこのフィールドに割り当てられます。 |
cs3 |
security_result.detection_fields[].value |
未加工ログの cs3 の値がこのフィールドに割り当てられます。 |
cs3Label |
security_result.detection_fields[].key |
未加工ログの cs3Label の値がこのフィールドに割り当てられます。 |
cs4 |
security_result.detection_fields[].value |
未加工ログの cs4 の値がこのフィールドに割り当てられます。 |
cs4Label |
security_result.detection_fields[].key |
未加工ログの cs4Label の値がこのフィールドに割り当てられます。 |
cs5 |
security_result.detection_fields[].value |
未加工ログの cs5 の値がこのフィールドに割り当てられます。 |
cs5Label |
security_result.detection_fields[].key |
未加工ログの cs5Label の値がこのフィールドに割り当てられます。 |
cs6 |
security_result.detection_fields[].value |
未加工ログの cs6 の値がこのフィールドに割り当てられます。 |
cs6 |
security_result.rule_id |
未加工ログの cs6 の値がこのフィールドに割り当てられます。 |
cs6Label |
security_result.detection_fields[].key |
未加工ログの cs6Label の値がこのフィールドに割り当てられます。 |
data |
security_result.detection_fields[].value |
suser フィールドが JSON の場合、未加工ログの suser JSON オブジェクトの data の値がこのフィールドに割り当てられます。 |
deviceInboundInterface |
additional.fields[].key |
このフィールドには文字列「deviceInboundInterface」が割り当てられます。 |
deviceInboundInterface |
additional.fields[].value.string_value |
未加工ログの deviceInboundInterface の値がこのフィールドに割り当てられます。 |
deviceOutboundInterface |
additional.fields[].key |
このフィールドには文字列「deviceOutboundInterface」が割り当てられます。 |
deviceOutboundInterface |
additional.fields[].value.string_value |
未加工ログの deviceOutboundInterface の値がこのフィールドに割り当てられます。 |
dpt |
target.port |
未加工ログの dpt の値がこのフィールドに割り当てられ、整数に変換されます。 |
dst |
target.asset.ip |
未加工ログの dst の値がこのフィールドに割り当てられます。 |
dst |
target.ip |
未加工ログの dst の値がこのフィールドに割り当てられます。 |
dvcpid |
security_result.about.process.pid |
未加工ログの dvcpid の値がこのフィールドに割り当てられます。 |
dvchost |
target.asset.hostname |
未加工ログの dvchost の値がこのフィールドに割り当てられます。 |
dvchost |
target.hostname |
未加工ログの dvchost の値がこのフィールドに割り当てられます。 |
hostname |
principal.asset.hostname |
未加工ログの hostname の値がこのフィールドに割り当てられます。 |
hostname |
principal.hostname |
未加工ログの hostname の値がこのフィールドに割り当てられます。principal と target の情報の有無に基づいてパーサー ロジックによって決定されます。両方が存在する場合、値は「NETWORK_CONNECTION」になります。principal のみが存在する場合は、値は「STATUS_UPDATE」です。target のみ存在する場合は、「USER_UNCATEGORIZED」になります。それ以外の場合、値は「GENERIC_EVENT」になります。 |
product_event_type |
metadata.product_event_type |
未加工ログの product_event_type の値がこのフィールドに割り当てられます。 |
product_name |
metadata.product_name |
未加工ログの product_name の値がこのフィールドに割り当てられます。 |
proto |
network.ip_protocol |
未加工ログの proto の値は整数に変換され、対応する IP プロトコル名(6 は TCP、17 は UDP になります。これは、「parse_ip_protocol.include」から含まれるルックアップを使用します。 |
severity |
security_result.severity_details |
未加工ログの severity の値がこのフィールドに割り当てられます。 |
spt |
principal.port |
未加工ログの spt の値がこのフィールドに割り当てられ、整数に変換されます。 |
src |
principal.asset.ip |
未加工ログの src の値がこのフィールドに割り当てられます。 |
src |
principal.ip |
未加工ログの src の値がこのフィールドに割り当てられます。 |
suser |
security_result.detection_fields[].value |
未加工ログの suser の値が JSON オブジェクトでない場合、このフィールドに割り当てられます。JSON の場合は、suser オブジェクトの data フィールドが使用されます。 |
suser |
security_result.detection_fields[].key |
このフィールドには文字列「suser」が割り当てられます。 |
ts |
metadata.event_timestamp |
未加工ログの ts の値はタイムスタンプとして解析され、このフィールドに割り当てられます。解析が成功するまで、複数のタイムスタンプ形式が試されます。 |
vendor_name |
metadata.vendor_name |
未加工ログの vendor_name の値がこのフィールドに割り当てられます。 |
version |
metadata.product_version |
未加工ログの version の値がこのフィールドに割り当てられます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。