Esta página foi traduzida pela API Cloud Translation.

Recolha registos do módulo de serviço de firewall (FWSM) da Cisco

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Cisco Firewall Service Module (FWSM) para o Google Security Operations através do Bindplane. O analisador extrai primeiro campos comuns, como datas/horas, endereços IP e descrições de eventos, das mensagens de syslog do dispositivo através de padrões Grok. Em seguida, mapeia as informações extraídas para o esquema do modelo de dados unificado (UDM) padronizado, convertendo tipos de dados, mudando os nomes dos campos e enriquecendo o resultado com classificações relacionadas com a segurança com base em valores e palavras-chave específicos.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado ao dispositivo Cisco FWSM

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.
- Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindpolane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FWSM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no Cisco FWSM

Inicie sessão no Cisco FWSM através de SSH ou de uma ligação de consola.
Configure o registo:
```
logging on
```
Configure o nível de registo:
```
logging trap <level>
```
- Altere o nível de armadilha de registo para 6 (informativo).

Configure as definições do syslog:

logging host [interface] bindplane_ip_address udp[/bindplane_port]

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
1.1.1.1	observer.ip	Extraído da mensagem de registo através do padrão grok.
2.2.2.2	principal.ip target.ip	Extraído da mensagem de registo através do padrão grok. O IP de destino é mapeado para principal.ip ou target.ip com base na direção da ligação. Quando `dst outside`, é mapeado para principal.ip, caso contrário, para target.ip.
3.3.3.3	principal.ip target.ip	Extraído da mensagem de registo através do padrão grok. O IP de origem é mapeado para principal.ip ou target.ip com base na direção da ligação. Quando `dst outside`, é mapeado para principal.ip, caso contrário, para target.ip.
3 abr 10:35:40		Esta data/hora não é capturada no UDM.
3 abr 10:44:38		Esta data/hora não é capturada no UDM.
3 abr 11:20:34		Esta data/hora não é capturada no UDM.
3 abr 11:20:38		Esta data/hora não é capturada no UDM.
29 abr 16:09:44		Esta data/hora não é capturada no UDM.
Recusar	security_result.action_details	Extraído da mensagem de registo através do padrão grok.
Recusado	security_result.action_details	Extraído da mensagem de registo através do padrão grok.
FWSM-3-106011	metadata.product_event_type	Extraído da mensagem de registo através do padrão grok.
FWSM-3-313001	metadata.product_event_type	Extraído da mensagem de registo através do padrão grok.
FWSM-4-106023	metadata.product_event_type	Extraído da mensagem de registo através do padrão grok.
FWSM-4-302010	metadata.product_event_type	Extraído da mensagem de registo através do padrão grok.
FWSM-4-302016	metadata.product_event_type	Extraído da mensagem de registo através do padrão grok.
ICMP	network.ip_protocol	Extraído da mensagem de registo através do padrão grok e convertido em maiúsculas.
TCP	network.ip_protocol	Extraído da mensagem de registo através do padrão grok e convertido em maiúsculas.
Desmontagem	security_result.action_details	Extraído da mensagem de registo através do padrão grok.
UDP	network.ip_protocol	Extraído da mensagem de registo através do padrão grok e convertido em maiúsculas.
111	target.port	Extraído da mensagem de registo através do padrão grok e convertido em número inteiro. Quando `dst outside`, é mapeado para principal.port. Caso contrário, é mapeado para target.port.
17608	principal.port	Extraído da mensagem de registo através do padrão grok e convertido em número inteiro. Quando `dst outside`, é mapeado para principal.port. Caso contrário, é mapeado para target.port.
3000	principal.port	Extraído da mensagem de registo através do padrão grok e convertido em número inteiro. Quando `dst outside`, é mapeado para principal.port. Caso contrário, é mapeado para target.port.
33103	target.port	Extraído da mensagem de registo através do padrão grok e convertido em número inteiro. Quando `dst outside`, é mapeado para principal.port. Caso contrário, é mapeado para target.port.
514	principal.port target.port	Extraído da mensagem de registo através do padrão grok e convertido em número inteiro. Quando `dst outside`, é mapeado para principal.port. Caso contrário, é mapeado para target.port.
	metadata.description	Todo o campo `descrip` do registo não processado é mapeado para este campo.
	metadata.event_timestamp	A data/hora do objeto de lote é usada como a data/hora do evento.
	metadata.event_type	Determinado com base na presença de IPs de origem e destino: - NETWORK_CONNECTION: os IPs de origem e destino estão presentes. - STATUS_UPDATE: apenas o IP de origem está presente. - GENERIC_EVENT: nem o IP de origem nem o de destino estão presentes.
	metadata.product_name	Codificado para `CISCO_FWSM`.
	metadata.vendor_name	Codificado para `CISCO`.
	principal.resource.type	Mapeado a partir do campo `facility` extraído da mensagem de registo.
	security_result.action	Definido como `BLOCK` se o campo `action` for um de `Deny`, `Teardown`, `denied` ou `Denied`.
	security_result.severity	Determinado com base no campo `severity_level`: - 7, 6: INFORMATIONAL - 5: LOW - 4: MEDIUM - 3: ERROR - 2: HIGH - other: CRITICAL
	network.direction	Mapeado a partir do campo `direction` extraído da mensagem de registo. Se o campo `direction` for `inbound`, este campo é definido como `INBOUND`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.