本頁面由 Cloud Translation API 翻譯而成。

收集 Cisco Firepower NGFW 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Cisco Firepower Next Generation Firewall (NGFW) 記錄擷取至 Google Security Operations。剖析器會從各種格式 (系統記錄、JSON 和兩者組合) 擷取記錄，將時間戳記標準化，並將相關欄位對應至統合式資料模型 (UDM)。這個函式會處理傳統的系統記錄訊息和記錄中的 JSON 格式酬載，運用 Grok 模式和條件邏輯擷取事件 ID、嚴重程度和用戶端 IP 等欄位，然後根據 HTTP 主機名稱和 URI，使用標籤擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟
Cisco Firepower 裝置的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
- 將檔案安全地儲存在要安裝 BindPlane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Cisco FirePower 裝置上設定系統記錄

登入 Firepower Device Manager 網頁介面。
依序前往「系統設定」>「記錄設定」。
將「資料記錄」切換鈕切換為「啟用」。
按一下「Syslog 伺服器」下方的「+」圖示。
按一下「Create new Syslog Server」(建立新的 Syslog 伺服器)。(或者，您也可以在「Objects」> Syslog Servers」中建立 Syslog Server)。
提供下列設定詳細資料：
- IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 通訊協定類型：選取「UDP」。
- 「通訊埠編號」：輸入 Bindplane 代理程式通訊埠編號。
- 選取「資料介面」或「管理介面」。
按一下 [確定]。
從清單中選取新建立的「Syslog 伺服器」，然後按一下「確定」。
按一下「篩選所有事件的嚴重程度」，然後從清單中選取「資訊」記錄層級。
按一下 [儲存]。
依序點選「部署新設定」圖示 >「立即部署」。
按一下畫面頂端的「政策」。
將游標懸停在「ACP 規則」右側，然後按一下「編輯」。
前往「記錄」分頁。
選取「連線結束時」。
開啟「Select a Syslog Alert Configuration」(選取 Syslog 警報設定) 清單。
選取 Bindplane Syslog 伺服器。
按一下 [確定]。
依序點選「部署新設定」圖示 >「立即部署」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`AccessControlRuleAction`	`security_result.action`	直接從原始記錄對應。值會正規化為 UDM (ALLOW/BLOCK)。
`AccessControlRuleName`	`security_result.rule_name`	直接從原始記錄對應。
`ACPolicy`	`security_result.rule_labels.value`	直接從原始記錄對應。金鑰設為「ACPolicy」。
`ApplicationProtocol`	`network.application_protocol`	直接從原始記錄對應。
`Client`	`network.http.user_agent`	直接從原始記錄對應。
`ClientVersion`	`principal.asset.platform_version`	直接從原始記錄對應。
`collection_time.nanos`	`metadata.event_timestamp.nanos`	直接從原始記錄對應。
`collection_time.seconds`	`metadata.event_timestamp.seconds`	直接從原始記錄對應。
`ConnectionDuration`	`network.session_duration.seconds`	直接從原始記錄對應，必要時轉換為秒數 (例如從時間長度格式轉換)。
`data`	`metadata.description`	與 `eventId` 搭配使用，可生成更詳盡的說明。也可用於使用 grok 和規則運算式擷取其他欄位。
`deviceId`	`metadata.product_log_id`	重新命名為 `device_uuid` 後，直接從原始記錄對應。
`device_uuid`	`metadata.product_log_id`	直接從原始記錄對應。
`DstIP`	`target.asset.ip`、`target.ip`	直接從原始記錄對應。
`DstPort`	`target.port`	直接從原始記錄對應。
`EgressInterface`	`principal.asset.attribute.labels.value`	直接從原始記錄對應。金鑰設為「EgressInterface」。
`EgressZone`	`target.location.name`	直接從原始記錄對應。
`eventId`	`metadata.product_event_type`	直接從原始記錄對應。也用於條件式邏輯和篩選。
`FileAction`	`security_result.summary`	直接從原始記錄對應。
`FileDirection`	`metadata.description`	直接從原始記錄對應，並附加至說明。
`FileName`	`target.file.full_path`	直接從原始記錄對應。
`FilePolicy`	`security_result.rule_name`	直接從原始記錄對應。
`FileSize`	`target.file.size`	直接從原始記錄對應。
`FileSHA256`	`target.file.sha256`	直接從原始記錄對應。
`FileSandboxStatus`	`security_result.description`	直接從原始記錄對應。
`HTTPReferer`	`network.http.referral_url`	直接從原始記錄對應。
`HTTPResponse`	`network.http.response_code`	直接從原始記錄對應。
`HTTP_Hostname`	`target.resource.attribute.labels.value`	直接從原始記錄對應。索引鍵設為「HTTP_Hostname」。
`HTTP_URI`	`target.resource.attribute.labels.value`	直接從原始記錄對應。金鑰設為「HTTP_URI」。
`IngressInterface`	`principal.asset.attribute.labels.value`	直接從原始記錄對應。金鑰設為「IngressInterface」。
`IngressZone`	`principal.location.name`	直接從原始記錄對應。
`InitiatorBytes`	`network.received_bytes`	直接從原始記錄對應。
`InlineResult`	`security_result.action_details`	直接從原始記錄對應。
`IntrusionPolicy`	`security_result.rule_name`	直接從原始記錄對應。
`log_type`	`metadata.log_type`	直接從原始記錄對應。
`Message`	`security_result.description`	直接從原始記錄對應，通常會加上「Message : 」前置字元。
`NAPPolicy`	`principal.asset.attribute.labels.value`	直接從原始記錄對應。索引鍵設為「NAPPolicy」。
`Prefilter Policy`	`security_result.rule_labels.value`	直接從原始記錄對應。金鑰設為「Prefilter Policy」。
`Priority`	`security_result.priority_details`	直接從原始記錄對應。
`priorityId`	`security_result.priority_details`	直接從原始記錄對應。
`product`	`metadata.product_name`	設為「Firepower Firewall」。
`Protocol`	`network.ip_protocol`	直接從原始記錄對應。值會正規化為 UDM (TCP、UDP、ICMP 等)。
`ResponderBytes`	`network.sent_bytes`	直接從原始記錄對應。
`Revision`	`security_result.about.labels.value`	直接從原始記錄對應。金鑰設為「Singnature_Version」。
`ruleId`	`security_result.rule_id`	直接從原始記錄對應。
`security_result.severity`	`security_result.severity`	根據原始記錄中的 `severity` 欄位設定，並使用對照表對應至 UDM 嚴重程度值。
`security_result.severity_details`	`security_result.severity_details`	根據原始記錄中的 `severity` 欄位設定，並使用對照表對應至 UDM 嚴重程度詳細資料。
`SID`	`security_result.threat_id`	直接從原始記錄對應。
`SrcIP`	`principal.asset.ip`、`principal.ip`	直接從原始記錄對應。
`SrcPort`	`principal.port`	直接從原始記錄對應。
`syslog_msg_id`	`metadata.product_event_type`	轉換為字串後，直接從原始記錄對應。用於覆寫 `eventId` (如有)。
`syslog_msg_text`	`metadata.description`、`security_result.description`	直接從原始記錄對應，有時會加上「Message : 」前置字串。用於覆寫從 `data` 和 `eventId` 產生的說明。
`syslog_severity`	`security_result.severity`	轉換為字串後，直接從原始記錄對應。用於覆寫從 `eventId` 衍生出的嚴重程度。值會正規化為 UDM (INFORMATIONAL、WARNING、ERROR 等)。
`sysloghost`	`intermediary.hostname`	直接從原始記錄對應。
`ThreatName`	`security_result.threat_name`	直接從原始記錄對應。
`ts`	`metadata.event_timestamp`	使用日期篩選器和各種格式從原始記錄剖析。
`ts_year`	`metadata.event_timestamp`	使用日期篩選器和各種格式從原始記錄剖析。
`URL`	`target.url`	直接從原始記錄對應。
`URLCategory`	`security_result.category_details`	直接從原始記錄對應。
`URLReputation`	`security_result.confidence_details`	直接從原始記錄對應。
`User`	`target.user.userid`	直接從原始記錄對應。
`UserAgent`	`network.http.user_agent`	直接從原始記錄對應。
`UserName`	`target.user.userid`	直接從原始記錄對應。
`user_name`	`principal.user.email_addresses`	直接從特定事件類型的原始記錄對應。
`WebApplication`	`target.application`	直接從原始記錄對應。
`metadata.event_type` 預設值為 `NETWORK_CONNECTION`，有時會根據 `eventId` 或其他欄位覆寫。
`metadata.vendor_name` 一律設為「Cisco」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。