Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Cisco VCS

Compatível com:

Google secops SIEM

Este documento explica como carregar registos do Cisco VCS (Video Communication Service), (controlados através do ExpressWay) para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog, normaliza-os num modelo de dados unificado (UDM) e categoriza o tipo de evento com base nos detalhes extraídos, como endereços IP, portas e ações. Processa vários formatos de registos, extrai pares de chave/valor e mapeia os níveis de gravidade para valores normalizados para análise de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps
Um anfitrião Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
Acesso privilegiado ao Cisco ExpressWay

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o BindPlane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_VCS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Cisco ExpressWay

Inicie sessão na IU Web do Cisco ExpressWay.
Aceda a Manutenção > Registo.
Introduza os endereços IP do agente Bindplane como o servidor syslog remoto.
Clique em Opções.
Indique os seguintes detalhes de configuração:
- Transporte: selecione UDP.
- Porta: introduza o número da porta do agente do Bindplane.
- Formato da mensagem: selecione BSD. A outra opção possível é IETF.
- Filtrar por gravidade: selecione Informativo.
Clique em Guardar.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento do UDM	Lógica
Ação	read_only_udm.security_result.action_details	O valor do campo `Action` do registo não processado.
Código	read_only_udm.network.http.response_code	O valor do campo `Code` do registo não processado, convertido em número inteiro. Usado quando `Response-code` não está presente.
Detalhe	read_only_udm.security_result.description	O valor do campo `Detail` do registo não processado.
Dst-ip	read_only_udm.target.ip	O valor do campo `Dst-ip` do registo não processado. Usado quando `Action` não é `Received`.
Dst-port	read_only_udm.target.port	O valor do campo `Dst-port` do registo não processado, convertido em número inteiro. Usado quando `Action` não é `Received`.
Evento	read_only_udm.metadata.product_event_type	O valor do campo `Event` do registo não processado.
Nível	read_only_udm.security_result.severity_details	O valor do campo `Level` do registo não processado.
Nível	read_only_udm.security_result.severity	Mapeado com base no valor do campo `Level` do registo não processado: - `9`, `10`, `VERY-HIGH`: CRÍTICO - `error`, `warning`, `7`, `8`, `HIGH`: ELEVADO - `notice`, `4`, `5`, `6`, `MEDIUM`: MÉDIO - `information`, `info`, `0`, `1`, `2`, `3`, `LOW`: BAIXO
Local-ip	read_only_udm.principal.ip	O valor do campo `Local-ip` do registo não processado. Usado quando `Action` não é `Received`.
Local-ip	read_only_udm.target.ip	O valor do campo `Local-ip` do registo não processado. Usado quando `Action` é `Received`.
Local-port	read_only_udm.principal.port	O valor do campo `Local-port` do registo não processado, convertido em número inteiro. Usado quando `Action` não é `Received`.
Local-port	read_only_udm.target.port	O valor do campo `Local-port` do registo não processado, convertido em número inteiro. Usado quando `Action` é `Received`.
Método	read_only_udm.network.http.method	O valor do campo `Method` do registo não processado.
Módulo	read_only_udm.additional.fields.value.string_value	O valor do campo `Module` do registo não processado.
Nó	read_only_udm.additional.fields.value.string_value	O valor do campo `Node` do registo não processado.
Protocolo	read_only_udm.network.ip_protocol	O valor do campo `Protocol` do registo não processado, analisado e mapeado para o nome do protocolo IP correspondente através da lógica `parse_ip_protocol.include`.
Response-code	read_only_udm.network.http.response_code	O valor do campo `Response-code` do registo não processado, convertido em número inteiro.
Src-ip	read_only_udm.principal.ip	O valor do campo `Src-ip` do registo não processado. Usado quando `Action` é `Received`.
Src-ip	read_only_udm.principal.ip	O valor do campo `Src-ip` do registo não processado. Usado quando `Action` não é `Received` e `Local-ip` não está presente.
Src-port	read_only_udm.principal.port	O valor do campo `Src-port` do registo não processado, convertido em número inteiro. Usado quando `Action` é `Received`.
Src-port	read_only_udm.principal.port	O valor do campo `Src-port` do registo não processado, convertido em número inteiro. Usado quando `Action` não é `Received` e `Local-port` não está presente.
aplicação	read_only_udm.target.application	O valor do campo `application` do registo não processado.
descrição	read_only_udm.security_result.description	O valor do campo `description` do registo não processado.
inner_msg	read_only_udm.security_result.description	O valor do campo `inner_msg` do registo não processado. Usado quando ocorre o gesto `inner_msg_grok_failure`.
principal_hostname	read_only_udm.principal.hostname	O valor do campo `principal_hostname` do registo não processado.
timestamp	read_only_udm.metadata.event_timestamp.seconds	A data/hora no formato Unix extraída do campo `timestamp` no registo não processado.
timestamp	read_only_udm.events.timestamp.seconds	A data/hora no formato Unix extraída do campo `timestamp` no registo não processado.
	read_only_udm.additional.fields.key	Valor codificado: `Module`, `Node`
	read_only_udm.metadata.log_type	Valor codificado: `CISCO_VCS`
	read_only_udm.metadata.product_name	Valor codificado: `CISCO VCS`
	read_only_udm.metadata.vendor_name	Valor codificado: `CISCO VCS`
	read_only_udm.metadata.event_type	Determinado com base nos valores dos campos `Action`, `Src-ip`, `principal_hostname`, `Local-ip` e `Dst-ip`: - `NETWORK_CONNECTION`: se (`Action` for `Received` e `Local-ip` estiver presente) ou (`Action` não for `Received` e `Dst-ip` estiver presente) - `STATUS_UPDATE`: caso contrário

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.