Raccogliere i log Cisco IOS

Questo documento spiega come importare i log Cisco IOS in Google Security Operations utilizzando Bindplane. Il parser trasforma i messaggi syslog non elaborati in un formato strutturato conforme al modello Unified Data Model (UDM). Inizialmente inizializza ed estrae i campi utilizzando pattern grok basati su formati syslog Cisco IOS comuni. Successivamente, mappa i campi estratti con i campi UDM corrispondenti, classifica gli eventi e arricchisce i dati con un contesto aggiuntivo prima di restituire il log strutturato in formato UDM.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Windows 2016 o versioni successive oppure un host Linux con systemd
• Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
• Accesso con privilegi al router, allo switch o al server Cisco IOS

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione.
   • Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

1. Accedi al file di configurazione:
   • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'CISCO_IOS'
           raw_log_field: body
           ingestion_labels:
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <customer_id> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Syslog sul dispositivo Cisco IOS

1. Accedi al dispositivo Cisco IOS utilizzando SSH o una connessione alla console.

2. Inserisci il seguente comando per la modalità con privilegi:

   enable
   

3. Inserisci il seguente comando per la modalità di configurazione:

   conf t
   

4. Inserisci i seguenti comandi per configurare syslog:

   logging <bindplane_IP_address>
   logging source-interface <interface>
   

   • Modifica <bindplane_IP_address> con l'indirizzo IP effettivo dell'agente Bindplane.
   • Modifica <interface> con l'interfaccia di comunicazione effettiva.

5. Inserisci i seguenti comandi per configurare il livello di priorità:

   logging trap information
   logging console information
   

6. Inserisci il seguente comando per configurare la funzionalità syslog:

   logging facility syslog
   

7. Inserisci il seguente comando per copiare running-config in startup-config:

   copy running-config startup-config
   

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.