Esta página foi traduzida pela API Cloud Translation.

Recolha registos do router Cisco

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do router Cisco para o Google Security Operations através de um agente do Bindplane. O analisador extrai primeiro campos comuns de vários formatos de mensagens syslog através de uma série de padrões Grok, processando diferentes variações de dados de data/hora e de chave-valor. Em seguida, aplica uma lógica específica com base no tipo de evento extraído (facility, mnemonics, message_type), enriquecendo os dados com campos adicionais e mapeando-os para o modelo de UDM.

Antes de começar

Certifique-se de que tem uma instância do Google SecOps.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado a um router Cisco.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CISCO_ROUTER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog num router Cisco

Inicie sessão no router Cisco.
Aumente os privilégios introduzindo o comando enable:
```
Switch> enable
Switch#
```
Mude para o modo de configuração introduzindo o comando conf t:
```
Switch# conf t
Switch(config)#
```
Introduza os seguintes comandos:
```
logging host <bindplane-server-ip> transport <tcp/udp> port <port-number>
logging source-interface <interface>
```
- Substitua <bindplane-server-ip> pelo endereço IP do agente do Bindplane e <port-number> pela porta configurada.
- Substitua <tcp/udp> pelo protocolo de escuta configurado no agente Bindplane; por exemplo, udp.
- Substitua <interface> pelo ID da interface Cisco; por exemplo, Ethernet1/1.

Defina o nível de prioridade introduzindo o seguinte comando:

logging trap Informational 
logging console Informational 
logging severity Informational

Defina a funcionalidade syslog:
```
logging facility local6
```
Ative as indicações de tempo introduzindo o seguinte comando:
```
service timestamps log datetime
```
Guardar e sair.
Configure as definições para sobreviverem ao reinício introduzindo o seguinte comando:
```
copy running-config startup-config
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento do UDM	Lógica
`client_ip`	target.ip, target.asset.ip	O valor é retirado do campo `client_ip` extraído pelo analisador grok.
`client_mac`	target.mac	O valor é retirado do campo `client_mac` extraído pelo analisador grok.
`dst_ip`	target.ip, target.asset.ip	O valor é retirado do campo `dst_ip` extraído pelo analisador grok.
`dst_port`	target.port	O valor é retirado do campo `dst_port` extraído pelo analisador grok e convertido num número inteiro.
`duration`	-	Este campo não está mapeado para o UDM.
`host_ip`	target.ip, target.asset.ip	O valor é retirado do campo `host_ip` extraído pelo analisador grok.
`local_proxy`	intermediary.ip	O valor é retirado do campo `local_proxy` extraído pelo analisador grok.
`message_data`	metadata.description	O valor é retirado do campo `message_data` extraído pelo analisador grok.
`protocol`	network.ip_protocol	O valor é retirado do campo `protocol` extraído pelo analisador grok e convertido em maiúsculas.
`received_bytes`	network.received_bytes	O valor é retirado do campo `received_bytes` extraído pelo analisador grok e convertido num número inteiro sem sinal.
`referral_url`	network.http.referral_url	O valor é retirado do campo `referral_url` extraído pelo analisador grok.
`remote_proxy`	intermediary.ip	O valor é retirado do campo `remote_proxy` extraído pelo analisador grok.
`send_bytes`	network.sent_bytes	O valor é retirado do campo `send_bytes` extraído pelo analisador grok e convertido num número inteiro sem sinal.
`sent_bytes`	network.sent_bytes	O valor é retirado do campo `sent_bytes` extraído pelo analisador grok e convertido num número inteiro sem sinal.
`server_host`	target.hostname, target.asset.hostname	O valor é retirado do campo `server_host` extraído pelo analisador grok.
`server_ip`	target.ip, target.asset.ip	O valor é retirado do campo `server_ip` extraído pelo analisador grok.
`src_ip`	principal.ip, principal.asset.ip	O valor é retirado do campo `src_ip` extraído pelo analisador grok.
`src_port`	principal.port	O valor é retirado do campo `src_port` extraído pelo analisador grok e convertido num número inteiro.
`user_ip`	target.ip, target.asset.ip	O valor é retirado do campo `user_ip` extraído pelo analisador grok.
`user_mail`	principal.user.userid, principal.user.email_addresses	O valor é retirado do campo `user_mail` extraído pelo analisador grok.
`username`	target.user.userid	O valor é retirado do campo `username` extraído pelo analisador grok.
-	metadata.event_timestamp	O valor é retirado do campo `create_time`.
-	metadata.event_type	O valor é definido como `GENERIC_EVENT` por predefinição e alterado para tipos de eventos específicos com base na mensagem de registo analisada.
-	metadata.log_type	O valor é definido como `CISCO_ROUTER`.
-	metadata.product_event_type	O valor é retirado do campo `message_type`, que é gerado combinando os campos `facility`, `priority` e `mnemonics`.
-	metadata.product_name	O valor é definido como `Router`.
-	metadata.vendor_name	O valor é definido como `Cisco`.
-	network.application_protocol	O valor é definido como `HTTP` ou `HTTPS` se o campo `protocol` for `http` ou `https`, respetivamente.
-	extensions.auth.type	O valor é predefinido como `AUTHTYPE_UNSPECIFIED` e alterado para tipos de autenticação específicos com base na mensagem de registo analisada.
-	security_result.action	O valor está definido como `ALLOW` para inícios de sessão bem-sucedidos e `BLOCK` para inícios de sessão falhados.
-	security_result.category	O valor está definido como `NETWORK_SUSPICIOUS` para eventos com opções de IP e `AUTH_VIOLATION` para inícios de sessão falhados.
-	security_result.description	O valor está definido como mensagens específicas para diferentes eventos.
-	security_result.severity	O valor está definido como `LOW` para inícios de sessão bem-sucedidos, `MEDIUM` para inícios de sessão falhados e `INFORMATIONAL` para outros eventos.
-	security_result.severity_details	O valor é retirado do campo `fail_reason` para inícios de sessão com falhas e definido como `Informational message` para eventos com opções de IP.
-	security_result.summary	O valor está definido como mensagens específicas para diferentes eventos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.