Coletar registros do módulo de serviço de firewall (FWSM) da Cisco

Compatível com:

Este documento explica como ingerir registros do módulo de serviço de firewall (FWSM) da Cisco no Google Security Operations usando o Bindplane. Primeiro, o analisador extrai campos comuns, como carimbos de data/hora, endereços IP e descrições de eventos das mensagens de syslog do dispositivo usando padrões Grok. Em seguida, ele mapeia as informações extraídas para o esquema padronizado do Modelo de dados unificado (UDM, na sigla em inglês), convertendo tipos de dados, renomeando campos e enriquecendo a saída com classificações relacionadas à segurança com base em valores e palavras-chave específicos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Acesso privilegiado ao dispositivo Cisco FWSM

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de ingestão.
    • Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente Bindpolane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            log_type: 'CISCO_FWSM'
            raw_log_field: body
            ingestion_labels:
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
    • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
    • Substitua <customer_id> pelo ID do cliente real.
    • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o Syslog no Cisco FWSM

  1. Faça login no Cisco FWSM usando SSH ou uma conexão de console.
  2. Configure a geração de registros:

    logging on
    
  3. Configure o nível de geração de registros:

    logging trap <level>
    
    • Mude o nível de interceptação de geração de registros para 6 (informativo).
  4. Defina as configurações do syslog:

    logging host [interface] bindplane_ip_address udp[/bindplane_port]
    

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
1.1.1.1 observer.ip Extraído da mensagem de registro usando o padrão grok.
2.2.2.2 principal.ip
target.ip
Extraído da mensagem de registro usando o padrão grok. O IP de destino é mapeado para principal.ip ou target.ip com base na direção da conexão. Quando dst outside, ele será mapeado para principal.ip, caso contrário, para target.ip.
3.3.3.3 principal.ip
target.ip
Extraído da mensagem de registro usando o padrão grok. O IP de origem é mapeado para principal.ip ou target.ip com base na direção da conexão. Quando dst outside, ele será mapeado para principal.ip, caso contrário, para target.ip.
3 abr 10:35:40 Esse carimbo de data/hora não é capturado na UDM.
3 abr 10:44:38 Esse carimbo de data/hora não é capturado na UDM.
3 abr 11:20:34 Esse carimbo de data/hora não é capturado na UDM.
3 abr 11:20:38 Esse carimbo de data/hora não é capturado na UDM.
29 abr 16:09:44 Esse carimbo de data/hora não é capturado na UDM.
Negar security_result.action_details Extraído da mensagem de registro usando o padrão grok.
Negado security_result.action_details Extraído da mensagem de registro usando o padrão grok.
FWSM-3-106011 metadata.product_event_type Extraído da mensagem de registro usando o padrão grok.
FWSM-3-313001 metadata.product_event_type Extraído da mensagem de registro usando o padrão grok.
FWSM-4-106023 metadata.product_event_type Extraído da mensagem de registro usando o padrão grok.
FWSM-4-302010 metadata.product_event_type Extraído da mensagem de registro usando o padrão grok.
FWSM-4-302016 metadata.product_event_type Extraído da mensagem de registro usando o padrão grok.
ICMP network.ip_protocol Extraído da mensagem de registro usando o padrão grok e convertido em letras maiúsculas.
TCP network.ip_protocol Extraído da mensagem de registro usando o padrão grok e convertido em letras maiúsculas.
Eliminação security_result.action_details Extraído da mensagem de registro usando o padrão grok.
UDP network.ip_protocol Extraído da mensagem de registro usando o padrão grok e convertido em letras maiúsculas.
111 target.port Extraído da mensagem de registro usando o padrão grok e convertido em número inteiro. Quando dst outside, ele será mapeado para principal.port, caso contrário, para target.port.
17608 principal.port Extraído da mensagem de registro usando o padrão grok e convertido em número inteiro. Quando dst outside, ele será mapeado para principal.port, caso contrário, para target.port.
3000 principal.port Extraído da mensagem de registro usando o padrão grok e convertido em número inteiro. Quando dst outside, ele será mapeado para principal.port, caso contrário, para target.port.
33103 target.port Extraído da mensagem de registro usando o padrão grok e convertido em número inteiro. Quando dst outside, ele será mapeado para principal.port, caso contrário, para target.port.
514 principal.port
target.port
Extraído da mensagem de registro usando o padrão grok e convertido em número inteiro. Quando dst outside, ele será mapeado para principal.port, caso contrário, para target.port.
metadata.description Todo o campo descrip do registro bruto é mapeado para esse campo.
metadata.event_timestamp O carimbo de data/hora do objeto de lote é usado como o carimbo de data/hora do evento.
metadata.event_type Determinado com base na presença de IPs de origem e destino:
- NETWORK_CONNECTION: os IPs de origem e destino estão presentes.
- STATUS_UPDATE: apenas o IP de origem está presente.
- GENERIC_EVENT: nenhum IP de origem ou destino está presente.
metadata.product_name Fixado no código como CISCO_FWSM.
metadata.vendor_name Fixado no código como CISCO.
principal.resource.type Mapeado do campo facility extraído da mensagem de registro.
security_result.action Defina como BLOCK se o campo action for um dos seguintes: Deny, Teardown, denied ou Denied.
security_result.severity Determinado com base no campo severity_level:
- 7, 6: INFORMATIVO
- 5: BAIXO
- 4: MÉDIO
- 3: ERRO
- 2: ALTO
- outro: CRÍTICO
network.direction Mapeado do campo direction extraído da mensagem de registro. Se o campo direction for inbound, este campo será definido como INBOUND.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.