收集 Cisco PIX 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Cisco PIX 日志注入到 Google Security Operations。解析器使用正则表达式(Grok 模式)和条件逻辑从防火墙 syslog 消息中提取字段。然后,它会将这些提取的字段映射到统一数据模型 (UDM),并根据源 IP 地址和目标 IP 地址是否存在将事件归类为网络连接、状态更新或通用事件。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口处于开放状态
- 对 Cisco PIX 防火墙设备的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
- 将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_PIX_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Cisco PIX 防火墙上配置 Syslog
- 使用 SSH 或控制台连接登录到 Cisco PIX 设备。
在特权模式下,输入以下内容:
enable输入以下命令以进入配置模式:
conf t输入以下命令以启用日志记录和时间戳:
logging on logging timestamp输入以下命令以配置日志级别:
logging trap information输入以下命令可配置 syslog 信息:
logging host <interface> <bindplane_IP_address>- 将
<interface>更改为可访问 Bindplane 代理的接口。 - 将
<bindplane_IP_address>更改为您的实际 Bindplane 代理 IP 地址。
- 将
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| datetime | metadata.event_timestamp.seconds | 将提取的时间戳转换为纪元秒数 |
| datetime | metadata.event_timestamp.nanos | 将提取的时间戳转换为纪元纳秒 |
| descrip | metadata.description | 直接从提取的 descrip 字段映射 |
| observer_ip | observer.ip | 直接从提取的 observer_ip 字段映射 |
| proto | network.ip_protocol | 直接从提取的 proto 字段映射,并转换为大写。仅当值为 UDP、TCP 或 ICMP 之一时才进行映射。 |
| src_ip | principal.ip | 直接从提取的 src_ip 字段映射 |
| src_port | principal.port | 直接从提取的 src_port 字段映射,并转换为整数 |
| facility | principal.resource.type | 直接从提取的 facility 字段映射 |
| 操作 | security_result.action_details | 直接从提取的 action 字段映射 |
| severity_level | security_result.severity | 根据 severity_level 的值进行映射:- 7、6:INFORMATIONAL - 5:LOW - 4:MEDIUM - 3:ERROR - 2:HIGH - 其他:CRITICAL |
| dest_ip | target.ip | 直接从提取的 dest_ip 字段映射 |
| dest_port | target.port | 直接从提取的 dest_port 字段映射,并转换为整数 |
| 方向 | network.direction | 如果 direction 字段为 inbound,则映射到 INBOUND |
| metadata.event_timestamp.seconds | 从顶级“create_time.seconds”字段中获取的值 | |
| metadata.event_timestamp.nanos | 从顶级“create_time.nanos”字段中获取的值 | |
| metadata.event_type | 根据 src_ip 和 dest_ip 的存在情况确定: - 两者都存在:NETWORK_CONNECTION - 仅存在 src_ip:STATUS_UPDATE - 其他情况:GENERIC_EVENT |
|
| metadata.product_event_type | facility、-、severity_level、- 和 mnemonic 字段的串联。 |
|
| metadata.product_name | 硬编码值:CISCO_FWSM |
|
| metadata.vendor_name | 硬编码值:CISCO |
|
| security_result.action | 如果 action 字段是 Deny、Teardown、denied 或 Denied 之一,则映射到 BLOCK。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。