Cisco IOS 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 Cisco IOS 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 원시 syslog 메시지를 통합 데이터 모델 (UDM)을 준수하는 구조화된 형식으로 변환합니다. 먼저 일반적인 Cisco IOS syslog 형식을 기반으로 grok 패턴을 사용하여 필드를 초기화하고 추출합니다. 그런 다음 추출된 필드를 해당 UDM 필드에 매핑하고, 이벤트를 분류하고, 추가 컨텍스트로 데이터를 보강한 후 마지막으로 UDM 형식의 구조화된 로그를 출력합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows 2016 이상 또는
systemd가 설치된 Linux 호스트 - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인
- Cisco IOS 라우터, 스위치 또는 서버에 대한 권한 액세스
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
- Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_IOS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Cisco IOS 기기에서 Syslog 구성
- SSH 또는 콘솔 연결을 사용하여 Cisco IOS 기기에 로그인합니다.
권한 모드에 대해 다음 명령어를 입력합니다.
enable구성 모드의 경우 다음 명령어를 입력합니다.
conf t다음 명령어를 입력하여 syslog를 구성합니다.
logging <bindplane_IP_address> logging source-interface <interface><bindplane_IP_address>를 실제 Bindplane 에이전트 IP 주소로 변경합니다.<interface>을 실제 통신 인터페이스로 변경합니다.
다음 명령어를 입력하여 우선순위 수준을 구성합니다.
logging trap information logging console information다음 명령어를 입력하여 syslog 기능을 구성합니다.
logging facility syslog다음 명령어를 입력하여 running-config를 startup-config에 복사합니다.
copy running-config startup-config
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| AcsSessionID | network.session_id | AcsSessionID 필드에서 가져온 값입니다. |
| AcctRequest-Flags | security_result.summary | AcctRequest-Flags 필드에서 가져온 값입니다. |
| AcctRequest-Flags | security_result.action | AcctRequest-Flags에 Start가 포함된 경우 ALLOW로 설정합니다. AcctRequest-Flags에 Stop가 포함된 경우 BLOCK로 설정합니다. |
| AuthenticationIdentityStore | additional.fields.key = AuthenticationIdentityStore, value = AuthenticationIdentityStore |
AuthenticationIdentityStore 필드에서 가져온 값입니다. |
| AuthenticationMethod | additional.fields.key = AuthenticationMethod, value = AuthenticationMethod |
AuthenticationMethod 필드에서 가져온 값입니다. |
| AuthenticationStatus | security_result.summary | AuthenticationStatus 필드에서 가져온 값입니다. |
| Authen-Method | security_result.detection_fields.key = Authen-Method, value = Authen-Method |
Authen-Method 필드에서 가져온 값입니다. |
| Authen-Method | extensions.auth.type | Authen-Method에 TacacsPlus가 포함된 경우 TACACS로 설정합니다. |
| AVPair_priv-lvl | security_result.detection_fields.key = AVPair_priv-lvl, value = AVPair_priv-lvl |
AVPair_priv-lvl 필드에서 가져온 값입니다. |
| AVPair_start_time | additional.fields.key = AVPair_start_time, value = AVPair_start_time |
AVPair_start_time 필드에서 가져온 값입니다. |
| AVPair_task_id | additional.fields.key = AVPair_task_id, value = AVPair_task_id |
AVPair_task_id 필드에서 가져온 값입니다. |
| AVPair_timezone | additional.fields.key = AVPair_timezone, value = AVPair_timezone |
AVPair_timezone 필드에서 가져온 값입니다. |
| auditid | metadata.product_log_id | auditid 필드에서 가져온 값입니다. |
| cisco_facility | IDM 객체에 매핑되지 않았습니다. | |
| cisco_message | metadata.description | cisco_message 필드에서 가져온 값입니다. |
| cisco_mnemonic | security_result.rule_name | cisco_mnemonic 필드에서 가져온 값입니다. |
| cisco_severity | security_result.severity | 값에 따라 다른 심각도 수준에 매핑됩니다. 0: ALERT, 1: CRITICAL, 2: HIGH, 3: ERROR, 4: MEDIUM, 5: LOW, 6: INFORMATIONAL, 7: INFORMATIONAL |
| cisco_severity | security_result.severity_details | 값에 따라 다른 심각도 세부정보에 매핑됩니다. 0: System unusable, 1: Immediate action needed, 2: Critical condition, 3: Error condition, 4: Warning condition, 5: Normal but significant condition, 6: Informational message only, 7: Appears during debugging only |
| cisco_tag | metadata.product_event_type | cisco_tag 필드에서 가져온 값입니다. |
| cisco_tag | metadata.event_type | 값에 따라 다른 이벤트 유형에 매핑됩니다. SYS-6-LOGGINGHOST_STARTSTOP, TRACK-6-STATE, SYS-3-LOGGINGHOST_FAIL, CRYPTO-4-IKMP_NO_SA, HA_EM-3-FMPD_ACTION_NOTRACK, HA_EM-3-FMPD_ERROR: GENERIC_EVENT; IPSEC-3-REPLAY_ERROR, CRYPTO-4-RECVD_PKT_INV_SPI, IPSEC-3-HMAC_ERROR, FW-6-DROP_PKT, SEC-6-IPACCESSLOGP: NETWORK_UNCATEGORIZED; CRYPTO-4-IKMP_BAD_MESSAGE, CRYPTO-6-IKMP_NOT_ENCRYPTED, CRYPTO-6-IKMP_MODE_FAILURE: STATUS_UNCATEGORIZED; SYS-5-CONFIG_I: USER_UNCATEGORIZED. |
| ClientLatency | additional.fields.key = ClientLatency, value = ClientLatency |
ClientLatency 필드에서 가져온 값입니다. |
| CmdSet | additional.fields.key = CmdSet, value = CmdSet |
CmdSet 필드에서 가져온 값입니다. |
| 명령어 | principal.process.command_line | 명령어 필드에서 가져온 값입니다. |
| CPMSessionID | additional.fields.key = CPMSessionID, value = CPMSessionID |
CPMSessionID 필드에서 가져온 값입니다. |
| description | metadata.description | 설명 필드에서 가져온 값입니다. |
| DestinationIPAddress | target.asset.ip | DestinationIPAddress 필드에서 가져온 값입니다. |
| DestinationIPAddress | target.ip | DestinationIPAddress 필드에서 가져온 값입니다. |
| DestinationPort | target.port | DestinationPort 필드에서 가져온 값입니다. |
| Device_IP_Address | principal.asset.ip | Device_IP_Address 필드에서 가져온 값입니다. |
| Device_IP_Address | principal.ip | Device_IP_Address 필드에서 가져온 값입니다. |
| Device_Type | additional.fields.key = Device_Type, value = Device_Type |
Device_Type 필드에서 가져온 값입니다. |
| dst_ip | target.asset.ip | dst_ip 필드에서 가져온 값입니다. |
| dst_ip | target.ip | dst_ip 필드에서 가져온 값입니다. |
| dst_port | target.port | dst_port 필드에서 가져온 값입니다. |
| dst_user | target.user.userid | dst_user 필드에서 가져온 값입니다. |
| EnableFlag | security_result.detection_fields.key = EnableFlag, value = EnableFlag |
EnableFlag 필드에서 가져온 값입니다. |
| IdentityGroup | additional.fields.key = IdentityGroup, value = IdentityGroup |
IdentityGroup 필드에서 가져온 값입니다. |
| IdentitySelectionMatchedRule | security_result.detection_fields.key = IdentitySelectionMatchedRule, value = IdentitySelectionMatchedRule |
IdentitySelectionMatchedRule 필드에서 가져온 값입니다. |
| intermediary_host | intermediary.hostname | intermediary_host 필드에서 가져온 값입니다. |
| intermediary_ip | intermediary.ip | intermediary_ip 필드에서 가져온 값입니다. |
| IPSEC | additional.fields.key = IPSEC, value = IPSEC |
IPSEC 필드에서 가져온 값입니다. |
| ISEPolicySetName | extensions.auth.type | ISEPolicySetName에 Tacacs이 포함된 경우 TACACS로 설정합니다. |
| IsMachineAuthentication | additional.fields.key = IsMachineAuthentication, value = IsMachineAuthentication |
IsMachineAuthentication 필드에서 가져온 값입니다. |
| IsMachineIdentity | security_result.detection_fields.key = IsMachineIdentity, value = IsMachineIdentity |
IsMachineIdentity 필드에서 가져온 값입니다. |
| 위치 | additional.fields.key = Location, value = Location |
위치 필드에서 가져온 값입니다. |
| MatchedCommandSet | additional.fields.key = MatchedCommandSet, value = MatchedCommandSet |
MatchedCommandSet 필드에서 가져온 값입니다. |
| 메시지 | IDM 객체에 매핑되지 않았습니다. | |
| metadata_event_type | metadata.event_type | metadata_event_type 필드에서 가져온 값입니다. 비어 있거나 GENERIC_EVENT인 경우 principal_mid_present 및 target_mid_present가 true이면 NETWORK_UNCATEGORIZED로 설정하고, principal_userid_present가 true이면 USER_UNCATEGORIZED로 설정하고, principal_mid_present가 true이면 STATUS_UPDATE로 설정하고, 그렇지 않으면 GENERIC_EVENT로 설정합니다. 서비스에 Login가 포함된 경우 principal_userid_present, principal_mid_present, target_mid_present가 true이면 USER_LOGIN으로 설정하고 principal_userid_present가 true이면 USER_UNCATEGORIZED로 설정합니다. |
| Model_Name | additional.fields.key = Model_Name, value = Model_Name |
Model_Name 필드에서 가져온 값입니다. |
| 이름 | additional.fields.key = Name, value = Name |
이름 필드에서 가져온 값입니다. |
| Network_Device_Profile | additional.fields.key = Network_Device_Profile, value = Network_Device_Profile |
Network_Device_Profile 필드에서 가져온 값입니다. |
| NetworkDeviceGroups | additional.fields.key = NetworkDeviceGroups, value = NetworkDeviceGroups |
NetworkDeviceGroups 필드에서 가져온 값입니다. |
| NetworkDeviceName | principal.asset.hostname | NetworkDeviceName 필드에서 가져온 값입니다. |
| NetworkDeviceName | principal.hostname | NetworkDeviceName 필드에서 가져온 값입니다. |
| NetworkDeviceProfileId | principal.resource.product_object_id | NetworkDeviceProfileId 필드에서 가져온 값입니다. |
| pid | principal.process.pid | pid 필드에서 가져온 값입니다. |
| 포트 | principal.resource.attribute.labels.key = Port, value = Port |
포트 필드에서 가져온 값입니다. |
| 권한 수준 | security_result.detection_fields.key = Privilege-Level, value = Privilege-Level |
권한 수준 필드에서 가져온 값입니다. |
| product_event_type | metadata.product_event_type | product_event_type 필드에서 가져온 값입니다. |
| 프로토콜 | additional.fields.key = Protocol, value = Protocol |
프로토콜 필드에서 가져온 값입니다. |
| 프로토콜 | network.application_protocol | 프로토콜이 HTTPS이면 HTTPS로 설정합니다. |
| 프로토콜 | network.ip_protocol | 프로토콜이 TCP 또는 UDP인 경우 프로토콜의 대문자 값으로 설정됩니다. |
| reason | security_result.summary | 이유 필드에서 가져온 값입니다. |
| 리전 | principal.location.country_or_region | 지역 필드에서 가져온 값입니다. |
| Remote-Address | target.asset.ip | IP 주소로 검증된 후 Remote-Address 필드에서 가져온 값입니다. |
| Remote-Address | target.ip | IP 주소로 검증된 후 Remote-Address 필드에서 가져온 값입니다. |
| RequestLatency | security_result.detection_fields.key = RequestLatency, value = RequestLatency |
RequestLatency 필드에서 가져온 값입니다. |
| 응답 | additional.fields.key = Response, value = Response |
응답 필드에서 가져온 값입니다. |
| SelectedAccessService | security_result.action_details | SelectedAccessService 필드에서 가져온 값입니다. |
| SelectedAuthenticationIdentityStores | security_result.detection_fields.key = SelectedAuthenticationIdentityStores, value = SelectedAuthenticationIdentityStores |
SelectedAuthenticationIdentityStores 필드에서 가져온 값입니다. |
| SelectedCommandSet | additional.fields.key = SelectedCommandSet, value = SelectedCommandSet |
SelectedCommandSet 필드에서 가져온 값입니다. |
| 서비스 | additional.fields.key = Service, value = Service |
서비스 필드에서 가져온 값입니다. |
| Service-Argument | additional.fields.key = Service-Argument, value = Service-Argument |
Service-Argument 필드에서 가져온 값입니다. |
| 줄이는 것을 | security_result.severity | 심각도에 Notice이 포함된 경우 INFORMATIONAL로 설정합니다. |
| Software_Version | additional.fields.key = Software_Version, value = Software_Version |
Software_Version 필드에서 가져온 값입니다. |
| source_facility | principal.asset.hostname | source_facility 필드에서 가져온 값입니다. |
| source_facility | principal.hostname | source_facility 필드에서 가져온 값입니다. |
| src_ip | principal.asset.ip | src_ip 필드에서 가져온 값입니다. |
| src_ip | principal.ip | src_ip 필드에서 가져온 값입니다. |
| src_mac | principal.mac | .을 :로 바꾼 후 src_mac 필드에서 가져온 값입니다. |
| src_port | principal.port | src_port 필드에서 가져온 값입니다. |
| src_user_id | principal.user.userid | src_user_id 필드에서 가져온 값입니다. 비어 있으면 사용자 필드에서 값을 가져옵니다. 여전히 비어 있으면 StepData_9 필드에서 값을 가져옵니다. |
| src_user_name | principal.user.user_display_name | src_user_name 필드에서 가져온 값입니다. |
| 단계 | additional.fields.key = Step, value = Step |
Step 필드에서 가져온 값입니다. |
| StepData_10 | principal.asset.hostname | StepData_10 필드에서 가져온 값입니다. |
| StepData_10 | principal.hostname | StepData_10 필드에서 가져온 값입니다. |
| StepData_13 | security_result.summary | StepData_13 필드에서 가져온 값입니다. |
| StepData_14 | security_result.detection_fields.key = StepData_14, value = StepData_14 |
StepData_14 필드에서 가져온 값입니다. |
| StepData_15 | security_result.detection_fields.key = StepData_15, value = StepData_15 |
StepData_15 필드에서 가져온 값입니다. |
| StepData_20 | security_result.detection_fields.key = StepData_20, value = StepData_20 |
StepData_20 필드에서 가져온 값입니다. |
| StepData_21 | security_result.detection_fields.key = StepData_21, value = StepData_21 |
StepData_21 필드에서 가져온 값입니다. |
| StepData_3 | additional.fields.key = StepData_3, value = StepData_3 |
StepData_3 필드에서 가져온 값입니다. |
| StepData_4 | security_result.detection_fields.key = StepData_4, value = StepData_4 |
StepData_4 필드에서 가져온 값입니다. |
| StepData_6 | security_result.detection_fields.key = StepData_6, value = StepData_6 |
StepData_6 필드에서 가져온 값입니다. |
| StepData_7 | security_result.detection_fields.key = StepData_7, value = StepData_7 |
StepData_7 필드에서 가져온 값입니다. |
| StepData_8 | security_result.detection_fields.key = StepData_8, value = StepData_8 |
StepData_8 필드에서 가져온 값입니다. |
| StepData_9 | principal.user.userid | src_user_id 및 User 필드가 비어 있는 경우 StepData_9 필드에서 가져온 값입니다. |
| target_host | target.asset.hostname | target_host 필드에서 가져온 값입니다. |
| target_host | target.hostname | target_host 필드에서 가져온 값입니다. |
| 타임스탬프 | metadata.event_timestamp | 추가 공백을 삭제하고 날짜를 파싱한 후 타임스탬프 필드에서 가져온 값입니다. |
| TotalAuthenLatency | additional.fields.key = TotalAuthenLatency, value = TotalAuthenLatency |
TotalAuthenLatency 필드에서 가져온 값입니다. |
| ts | metadata.event_timestamp | 날짜를 파싱한 후 ts 필드에서 가져온 값입니다. |
| 유형 | security_result.category_details | '유형' 필드에서 가져온 값입니다. |
| 사용자 | principal.user.userid | src_user_id가 비어 있는 경우 사용자 필드에서 가져온 값입니다. |
| UserType | additional.fields.key = UserType, value = UserType |
UserType 필드에서 가져온 값입니다. |
| metadata.vendor_name | CISCO로 설정합니다. |
|
| metadata.product_name | CISCO_IOS로 설정합니다. |
|
| metadata.log_type | CISCO_IOS로 설정합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.