Recopila registros de Cisco Application Centric Infrastructure (ACI)

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Cisco Application Centric Infrastructure (ACI) a Google Security Operations. En primer lugar, el analizador intenta procesar los registros de Cisco ACI entrantes como mensajes de syslog con patrones de Grok. Si falla el análisis de syslog, se supone que el mensaje está en formato JSON y se analiza en consecuencia. Por último, asigna los campos extraídos al modelo de datos unificado (UDM).

Esta integración admite dos métodos:

Opción 1: Formato de Syslog con el agente de Bindplane
Opción 2: Formato JSON con Google Cloud Storage a través de la API de REST de APIC

Cada opción es independiente y se puede implementar por separado según los requisitos de tu infraestructura y las preferencias de formato de registro.

Opción 1: Syslog con el agente de Bindplane

Esta opción configura el tejido de Cisco ACI para enviar mensajes de syslog a un agente de BindPlane, que los reenvía a Operaciones de seguridad de Google para su análisis.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows 2016 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la consola de Cisco APIC

Obtén el archivo de autenticación de transferencia de Google SecOps

Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Para obtener más opciones de instalación, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración

Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CISCO_ACI'
    raw_log_field: body
    ingestion_labels:
      service:

pipelines:
  logs/source0__chronicle_w_labels-0:
    receivers:
      - udplog
    exporters:
      - chronicle/chronicle_w_labels

Reemplaza lo siguiente:
- Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
- Reemplaza <CUSTOMER_ID> por el ID de cliente real.
- Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de Syslog en Cisco ACI

Configura el contrato de administración fuera de banda

Accede a la consola de Cisco APIC.
Ve a Tenants > mgmt > Contracts > Filters.
Haz clic en Crear filtro.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa syslog-udp-514.
- Nombre de entrada: Ingresa syslog.
- EtherType: Selecciona IP.
- Protocolo IP: Selecciona UDP.
- Rango de puertos de destino (desde): Ingresa 514.
- Rango de puertos de destino hasta: Ingresa 514.
Haz clic en Enviar.

Crear contrato de administración

Ve a Tenants > mgmt > Contracts > Standard.
Haz clic en Crear contrato.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa mgmt-syslog-contract.
- Alcance: Selecciona Contexto.
Haz clic en Enviar.
Expande el contrato y haz clic en Temas.
Haz clic en Crear asunto del contrato.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa syslog-subject.
- Aplicar en ambas direcciones: Marca esta opción.
Haz clic en Enviar.
Expande el asunto y haz clic en Filtros.
Haz clic en Create Filter Binding.
Selecciona el filtro syslog-udp-514.
Haz clic en Enviar.

Configura el grupo de destino de Syslog

Ve a Administrador > Recopiladores de datos externos > Destinos de supervisión > Syslog.
Haz clic con el botón derecho en Syslog y selecciona Create Syslog Monitoring Destination Group.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa Chronicle-Syslog-Group.
- Estado de administrador: Selecciona Habilitado.
- Formato: Selecciona aci.
Haz clic en Siguiente.
En el diálogo Create Syslog Monitoring Destination, haz lo siguiente:
- Nombre: Ingresa Chronicle-BindPlane.
- Host: Ingresa la dirección IP del servidor del agente de Bindplane.
- Puerto: Ingresa 514.
- Estado de administrador: Selecciona Habilitado.
- Gravedad: Selecciona información (para capturar registros detallados).
Haz clic en Enviar.

Configura políticas de supervisión

Política de supervisión de Fabric

Ve a Fabric > Fabric Policies > Policies > Monitoring > Common Policy.
Expande Callhome/Smart Callhome/SNMP/Syslog/TACACS.
Haz clic con el botón derecho en Syslog y selecciona Create Syslog Source.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa Chronicle-Fabric-Syslog.
- Registros de auditoría: Marca esta opción para incluir eventos de auditoría.
- Eventos: Marca esta opción para incluir los eventos del sistema.
- Faults: Marca esta opción para incluir eventos de fallas.
- Registros de sesión: Marca esta opción para incluir los registros de sesión.
- Grupo de destino: Selecciona Chronicle-Syslog-Group.
Haz clic en Enviar.

Política de Supervisión de Acceso

Ve a Fabric > Access Policies > Policies > Monitoring > Default Policy.
Expande Callhome/Smart Callhome/SNMP/Syslog.
Haz clic con el botón derecho en Syslog y selecciona Create Syslog Source.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa Chronicle-Access-Syslog.
- Registros de auditoría: Marca esta opción para incluir eventos de auditoría.
- Eventos: Marca esta opción para incluir los eventos del sistema.
- Faults: Marca esta opción para incluir eventos de fallas.
- Registros de sesión: Marca esta opción para incluir los registros de sesión.
- Grupo de destino: Selecciona Chronicle-Syslog-Group.
Haz clic en Enviar.

Configura la política de mensajes de Syslog del sistema

Ve a Fabric > Fabric Policies > Policies > Monitoring > Common Policy.
Expande Políticas de mensajes de Syslog.
Haz clic en predeterminada.
En la sección Facility Filter, haz lo siguiente:
- Instalación: Selecciona predeterminado.
- Gravedad mínima: Cambia a informativa.
Haz clic en Enviar.

Opción 2: JSON con Google Cloud Storage

Esta opción usa la API de REST de APIC para recopilar eventos, errores y registros de auditoría con formato JSON del tejido de Cisco ACI y los almacena en Google Cloud Storage para la transferencia de datos de Google SecOps.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Proyecto de GCP con la API de Cloud Storage habilitada
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
Acceso con privilegios a la consola de Cisco APIC

Recopila los requisitos previos del APIC de Cisco ACI

Obtén credenciales de APIC

Accede a la consola de Cisco APIC a través de HTTPS.
Ve a Admin > AAA (en APIC 6.0 y versiones posteriores) o Admin > Authentication > AAA (en versiones anteriores).

Nota: La ruta de menú de AAA cambió a partir de APIC 6.0(1).
Crea un usuario local nuevo o usa uno existente con los privilegios adecuados.
Copia y guarda en una ubicación segura los siguientes detalles:
- Nombre de usuario de APIC: Usuario local con acceso de lectura a los datos de supervisión
- Contraseña de APIC: Contraseña del usuario
- URL de APIC: Es la URL HTTPS de tu APIC (por ejemplo, https://apic.example.com).

Crea un bucket de Google Cloud Storage

Ve a la consola deGoogle Cloud .
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `cisco-aci-logs`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

En GCP Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa cisco-aci-collector-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Cisco ACI logs.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de almacenamiento.
3. Haz clic en + Agregar otra función.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otra función.
6. Busca y selecciona Cloud Functions Invoker.
Haz clic en Continuar.
Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
Invocador de Cloud Run: Permite que Pub/Sub invoque la función
Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio (cisco-aci-collector-sa) en el bucket de GCS:

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (por ejemplo, cisco-aci-logs).
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, cisco-aci-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Asignar roles: Selecciona Administrador de objetos de Storage.
Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

En GCP Console, ve a Pub/Sub > Temas.
Haz clic en Crear un tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa cisco-aci-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activará con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de REST de Cisco APIC y escribirlos en GCS.

En GCP Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre del servicio	`cisco-aci-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (cisco-aci-trigger).
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
- Selecciona Solicitar autenticación.
- Selecciona Identity and Access Management (IAM).

Desplázate hasta Contenedores, redes y seguridad y expándelo.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio (cisco-aci-collector-sa).

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.

Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo	Descripción
`GCS_BUCKET`	`cisco-aci-logs`	Nombre del bucket de GCS
`GCS_PREFIX`	`cisco-aci-events`	Prefijo para los archivos de registro
`STATE_KEY`	`cisco-aci-events/state.json`	Ruta de acceso al archivo de estado
`APIC_URL`	`https://apic.example.com`	URL HTTPS de APIC
`APIC_USERNAME`	`your-apic-username`	Nombre de usuario de APIC
`APIC_PASSWORD`	`your-apic-password`	Contraseña de APIC
`PAGE_SIZE`	`100`	Registros por página
`MAX_PAGES`	`10`	Cantidad máxima de páginas por ejecución

En la sección Variables y Secrets, desplázate hasta Requests:
- Tiempo de espera de la solicitud: Ingresa 300 segundos (5 minutos).
Ve a la pestaña Configuración:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

Ingresa main en el campo Punto de entrada.

En el editor de código intercalado, crea dos archivos:

Primer archivo: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import logging

# Configure logging
logger = logging.getLogger()
logger.setLevel(logging.INFO)

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-aci-events')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-aci-events/state.json')
APIC_URL = os.environ.get('APIC_URL')
APIC_USERNAME = os.environ.get('APIC_USERNAME')
APIC_PASSWORD = os.environ.get('APIC_PASSWORD')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco ACI logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, APIC_URL, APIC_USERNAME, APIC_PASSWORD]):
        logger.error('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        last_timestamp = state.get('last_timestamp')
        if not last_timestamp:
            last_timestamp = (datetime.utcnow() - timedelta(hours=1)).isoformat() + 'Z'

        logger.info(f"Starting Cisco ACI data collection for bucket: {GCS_BUCKET}")

        # Authenticate to APIC
        session_token = authenticate_apic(APIC_URL, APIC_USERNAME, APIC_PASSWORD)
        headers = {
            'Cookie': f'APIC-cookie={session_token}',
            'Accept': 'application/json',
            'Content-Type': 'application/json'
        }

        # Data types to collect
        data_types = ['faultInst', 'eventRecord', 'aaaModLR']
        all_collected_data = []

        for data_type in data_types:
            logger.info(f"Collecting {data_type} data")
            collected_data = collect_aci_data(
                APIC_URL,
                headers,
                data_type,
                last_timestamp,
                PAGE_SIZE,
                MAX_PAGES
            )

            # Tag each record with its type
            for record in collected_data:
                record['_data_type'] = data_type

            all_collected_data.extend(collected_data)
            logger.info(f"Collected {len(collected_data)} {data_type} records")

        logger.info(f"Total records collected: {len(all_collected_data)}")

        # Store data in GCS if any were collected
        if all_collected_data:
            timestamp_str = datetime.utcnow().strftime('%Y%m%d_%H%M%S')
            s3_key = f"{GCS_PREFIX}/cisco_aci_events_{timestamp_str}.ndjson"

            # Convert to NDJSON format (one JSON object per line)
            ndjson_content = '\n'.join(json.dumps(record) for record in all_collected_data)

            # Upload to GCS
            blob = bucket.blob(s3_key)
            blob.upload_from_string(
                ndjson_content,
                content_type='application/x-ndjson'
            )

            logger.info(f"Uploaded {len(all_collected_data)} records to gs://{GCS_BUCKET}/{s3_key}")

            # Update state file with latest timestamp from collected data
            latest_timestamp = get_latest_timestamp_from_records(all_collected_data)
            if not latest_timestamp:
                latest_timestamp = datetime.utcnow().isoformat() + 'Z'

            update_state(bucket, STATE_KEY, latest_timestamp)
        else:
            logger.info("No new log records found.")

        logger.info(f"Successfully processed {len(all_collected_data)} records")

    except Exception as e:
        logger.error(f'Error processing logs: {str(e)}')
        raise

def authenticate_apic(apic_url, username, password):
    """Authenticate to APIC and return session token"""
    login_url = f"{apic_url}/api/aaaLogin.json"
    login_data = {
        "aaaUser": {
            "attributes": {
                "name": username,
                "pwd": password
            }
        }
    }

    response = http.request(
        'POST',
        login_url,
        body=json.dumps(login_data).encode('utf-8'),
        headers={'Content-Type': 'application/json'},
        timeout=30
    )

    if response.status != 200:
        raise RuntimeError(f"APIC authentication failed: {response.status} {response.data[:256]!r}")

    response_data = json.loads(response.data.decode('utf-8'))
    token = response_data['imdata'][0]['aaaLogin']['attributes']['token']
    logger.info("Successfully authenticated to APIC")
    return token

def collect_aci_data(apic_url, headers, data_type, last_timestamp, page_size, max_pages):
    """Collect data from APIC REST API with pagination"""
    all_data = []
    page = 0

    while page < max_pages:
        # Build API URL with pagination and time filters
        api_url = f"{apic_url}/api/class/{data_type}.json"
        params = [
            f'page-size={page_size}',
            f'page={page}',
            f'order-by={data_type}.created|asc'
        ]

        # Add time filter to prevent duplicates
        if last_timestamp:
            params.append(f'query-target-filter=gt({data_type}.created,"{last_timestamp}")')

        full_url = f"{api_url}?{'&'.join(params)}"

        logger.info(f"Fetching {data_type} page {page} from APIC")

        # Make API request
        response = http.request('GET', full_url, headers=headers, timeout=60)

        if response.status != 200:
            logger.error(f"API request failed: {response.status} {response.data[:256]!r}")
            break

        data = json.loads(response.data.decode('utf-8'))
        records = data.get('imdata', [])

        if not records:
            logger.info(f"No more {data_type} records found")
            break

        # Extract the actual data from APIC format
        extracted_records = []
        for record in records:
            if data_type in record:
                extracted_records.append(record[data_type])

        all_data.extend(extracted_records)
        page += 1

        # If we got less than page_size records, we've reached the end
        if len(records) < page_size:
            break

    return all_data

def get_last_timestamp(bucket, state_key):
    """Get the last run timestamp from GCS state file"""
    try:
        blob = bucket.blob(state_key)
        if blob.exists():
            state_data = blob.download_as_text()
            state = json.loads(state_data)
            return state.get('last_timestamp')
    except Exception as e:
        logger.warning(f"Error reading state file: {str(e)}")

    return None

def get_latest_timestamp_from_records(records):
    """Get the latest timestamp from collected records to prevent missing events"""
    if not records:
        return None

    latest = None
    latest_time = None

    for record in records:
        try:
            # Handle both direct attributes and nested structure
            attrs = record.get('attributes', record)
            created = attrs.get('created')
            modTs = attrs.get('modTs')

            # Use created or modTs as fallback
            timestamp = created or modTs

            if timestamp:
                if latest_time is None or timestamp > latest_time:
                    latest_time = timestamp
                    latest = record
        except Exception as e:
            logger.debug(f"Error parsing timestamp from record: {e}")
            continue

    return latest_time

def update_state(bucket, state_key, timestamp):
    """Update the state file with the current timestamp"""
    try:
        state_data = {
            'last_timestamp': timestamp,
            'updated_at': datetime.utcnow().isoformat() + 'Z'
        }
        blob = bucket.blob(state_key)
        blob.upload_from_string(
            json.dumps(state_data),
            content_type='application/json'
        )
        logger.info(f"Updated state file with timestamp: {timestamp}")
    except Exception as e:
        logger.error(f"Error updating state file: {str(e)}")

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        logger.warning(f"Could not load state: {e}")

    return {}

Segundo archivo: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

En GCP Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre	`cisco-aci-collector-15m`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`/15 * * *` (cada 15 minutos)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de orientación	Pub/Sub
Tema	Selecciona el tema de Pub/Sub (`cisco-aci-trigger`).
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de latencia y volumen de registros:

Frecuencia	Expresión cron	Caso de uso
Cada 5 minutos	`/5 * * *`	Alto volumen y baja latencia
Cada 15 minutos	`/15 * * *`	Volumen medio (recomendado)
Cada 1 hora	`0 * * * *`	Estándar
Cada 6 horas	`0 /6 * *`	Procesamiento por lotes y volumen bajo
Diario	`0 0 * * *`	Recopilación de datos históricos

Prueba la integración

En la consola de Cloud Scheduler, busca tu trabajo (cisco-aci-collector-15m).
Haz clic en Forzar ejecución para activar el trabajo de forma manual.
Espera unos segundos.
Ve a Cloud Run > Servicios.
Haz clic en el nombre de tu función (cisco-aci-collector).
Haz clic en la pestaña Registros.

Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

Starting Cisco ACI data collection for bucket: cisco-aci-logs
Successfully authenticated to APIC
Collecting faultInst data
Collected X faultInst records
Collecting eventRecord data
Collected X eventRecord records
Collecting aaaModLR data
Collected X aaaModLR records
Total records collected: X
Uploaded X records to gs://cisco-aci-logs/cisco-aci-events/cisco_aci_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (cisco-aci-logs).
Navega a la carpeta del prefijo (cisco-aci-events/).
Verifica que se haya creado un archivo .ndjson nuevo con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

HTTP 401: Verifica las credenciales de la APIC en las variables de entorno
HTTP 403: Verifica que la cuenta de APIC tenga permisos de lectura para las clases faultInst, eventRecord y aaaModLR.
Errores de conexión: Verifica que la función de Cloud Run pueda acceder a la URL de la API en TCP/443
Faltan variables de entorno: Verifica que estén configuradas todas las variables requeridas.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Cisco ACI JSON logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Cisco Application Centric Infrastructure como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico. la usarás en el próximo paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket (cisco-aci-logs).
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de Cisco ACI

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Cisco ACI JSON logs).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Cisco Application Centric Infrastructure como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://cisco-aci-logs/cisco-aci-events/
```
  - Reemplaza:
    - cisco-aci-logs: Es el nombre de tu bucket de GCS.
    - cisco-aci-events: Es el prefijo o la ruta de acceso a la carpeta en la que se almacenan los registros.
Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
  Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
@timestamp	read_only_udm.metadata.event_timestamp	El valor se toma del campo de registro sin procesar "@timestamp" y se analiza como una marca de tiempo.
aci_tag	read_only_udm.metadata.product_log_id	El valor se toma del campo de registro sin procesar "aci_tag".
cisco_timestamp	-	Sin asignar.
DIP	read_only_udm.target.ip	El valor se toma del campo de registro sin procesar "DIP".
DPort	read_only_udm.target.port	El valor se toma del campo de registro sin procesar "DPort" y se convierte en un número entero.
descripción	read_only_udm.security_result.description	El valor se toma del campo de registro sin procesar "description".
fault_cause	read_only_udm.additional.fields.value.string_value	El valor se toma del campo de registro sin procesar "fault_cause". La clave se establece en "Causa de la falla".
Nombre de host	read_only_udm.principal.hostname	El valor se toma del campo de registro sin procesar "hostname".
lifecycle_state	read_only_udm.metadata.product_event_type	El valor se toma del campo de registro sin procesar "lifecycle_state".
log.source.address	-	Sin asignar.
logstash.collect.host	-	Sin asignar.
logstash.collect.timestamp	read_only_udm.metadata.collected_timestamp	El valor se toma del campo de registro sin procesar "logstash.collect.timestamp" y se analiza como una marca de tiempo.
logstash.ingest.host	read_only_udm.intermediary.hostname	El valor se toma del campo de registro sin procesar "logstash.ingest.host".
logstash.irm_environment	read_only_udm.additional.fields.value.string_value	El valor se toma del campo de registro sin procesar "logstash.irm_environment". La clave se establece en "IRM_Environment".
logstash.irm_region	read_only_udm.additional.fields.value.string_value	El valor se toma del campo de registro sin procesar "logstash.irm_region". La clave se establece en "IRM_Region".
logstash.irm_site	read_only_udm.additional.fields.value.string_value	El valor se toma del campo de registro sin procesar "logstash.irm_site". La clave se establece en "IRM_Site".
logstash.process.host	read_only_udm.intermediary.hostname	El valor se toma del campo de registro sin procesar "logstash.process.host".
mensaje	-	Sin asignar.
message_class	-	Sin asignar.
message_code	-	Sin asignar.
message_content	-	Sin asignar.
message_dn	-	Sin asignar.
message_type	read_only_udm.metadata.product_event_type	El valor se toma del campo de registro sin procesar "message_type" después de quitar los corchetes.
node_link	read_only_udm.principal.process.file.full_path	El valor se toma del campo de registro sin procesar "node_link".
PktLen	read_only_udm.network.received_bytes	El valor se toma del campo de registro sin procesar "PktLen" y se convierte en un número entero sin signo.
programa	-	Sin asignar.
Proto	read_only_udm.network.ip_protocol	El valor se toma del campo de registro sin procesar "Proto", se convierte en un número entero y se asigna al nombre del protocolo IP correspondiente (p.ej., 6 -> TCP).
SIP	read_only_udm.principal.ip	El valor se toma del campo de registro sin procesar "SIP".
SPort	read_only_udm.principal.port	El valor se toma del campo de registro sin procesar "SPort" y se convierte en un número entero.
syslog_facility	-	Sin asignar.
syslog_facility_code	-	Sin asignar.
syslog_host	read_only_udm.principal.ip, read_only_udm.observer.ip	El valor se toma del campo de registro sin procesar "syslog_host".
syslog_prog	-	Sin asignar.
syslog_severity	read_only_udm.security_result.severity_details	El valor se toma del campo de registro sin procesar "syslog_severity".
syslog_severity_code	read_only_udm.security_result.severity	El valor se toma del campo de registro sin procesar "syslog_severity_code" y se asigna al nivel de gravedad correspondiente: 5, 6, 7 -> INFORMATIONAL; 3, 4 -> MEDIUM; 0, 1, 2 -> HIGH.
syslog5424_pri	-	Sin asignar.
Vlan-Id	read_only_udm.principal.resource.id	El valor se toma del campo de registro sin procesar "Vlan-Id".
-	read_only_udm.metadata.event_type	Lógica: Si están presentes "SIP" o "hostname" y "Proto", se establece en "NETWORK_CONNECTION". De lo contrario, si está presente "SIP", "hostname" o "syslog_host", se establece en "STATUS_UPDATE". De lo contrario, se establece como "GENERIC_EVENT".
-	read_only_udm.metadata.log_type	Lógica: Se establece en "CISCO_ACI".
-	read_only_udm.metadata.vendor_name	Lógica: Se establece en "Cisco".
-	read_only_udm.metadata.product_name	Lógica: Se establece en "ACI".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.