收集 Cisco PIX 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Cisco PIX 記錄擷取至 Google Security Operations。剖析器會使用規則運算式 (grok 模式) 和條件邏輯,從防火牆系統記錄訊息中擷取欄位。然後將這些擷取的欄位對應至統一資料模型 (UDM),並根據來源和目的地 IP 位址是否存在,將事件分類為網路連線、狀態更新或一般事件。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟
- Cisco PIX 防火牆設備的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
- 將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_PIX_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Cisco PIX 防火牆上設定 Syslog
- 使用 SSH 或主控台連線登入 Cisco PIX 設備。
針對「privileged」模式,輸入下列內容:
enable輸入下列指令,進入設定模式:
conf t輸入下列指令,啟用記錄和時間戳記:
logging on logging timestamp輸入下列指令來設定記錄層級:
logging trap information輸入下列指令,設定系統記錄資訊:
logging host <interface> <bindplane_IP_address>- 將
<interface>變更為可存取 Bindplane 代理程式的介面。 - 將
<bindplane_IP_address>變更為實際的 Bindplane 代理程式 IP 位址。
- 將
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 日期時間 | metadata.event_timestamp.seconds | 將擷取的時間戳記轉換為 Epoch 秒數 |
| 日期時間 | metadata.event_timestamp.nanos | 將擷取的時間戳記轉換為 Epoch 奈秒 |
| descrip | metadata.description | 直接從擷取的「descrip」欄位對應 |
| observer_ip | observer.ip | 直接從擷取的「observer_ip」欄位對應 |
| proto | network.ip_protocol | 轉換為大寫後,直接從擷取的 proto 欄位對應。只有當值為 UDP、TCP 或 ICMP 時,才會對應。 |
| src_ip | principal.ip | 直接從擷取的「src_ip」欄位對應 |
| src_port | principal.port | 轉換為整數後,直接從擷取的 src_port 欄位對應 |
| 機構 | principal.resource.type | 直接從擷取的「facility」欄位對應 |
| 動作 | security_result.action_details | 直接從擷取的「action」欄位對應 |
| severity_level | security_result.severity | 根據 severity_level 的值對應:- 7、6:INFORMATIONAL - 5:LOW - 4:MEDIUM - 3:ERROR - 2:HIGH - 其他:CRITICAL |
| dest_ip | target.ip | 直接從擷取的「dest_ip」欄位對應 |
| dest_port | target.port | 轉換為整數後,直接從擷取的 dest_port 欄位對應 |
| 方向 | network.direction | 如果 direction 欄位為 inbound,則會對應至 INBOUND |
| metadata.event_timestamp.seconds | 取自頂層「create_time.seconds」欄位的值 | |
| metadata.event_timestamp.nanos | 取自頂層「create_time.nanos」欄位的值 | |
| metadata.event_type | 根據 src_ip 和 dest_ip 是否存在而定: - 兩者皆存在:NETWORK_CONNECTION - 僅存在 src_ip:STATUS_UPDATE - 其他情況:GENERIC_EVENT |
|
| metadata.product_event_type | facility、-、severity_level、- 和 mnemonic 欄位的串連。 |
|
| metadata.product_name | 硬式編碼值:CISCO_FWSM |
|
| metadata.vendor_name | 硬式編碼值:CISCO |
|
| security_result.action | 如果 action 欄位是 Deny、Teardown、denied 或 Denied,則會對應至 BLOCK。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。