Mengumpulkan log Cisco Secure ACS

Didukung di:

Dokumen ini menjelaskan cara menyerap log Cisco Secure ACS ke Google Security Operations menggunakan Bindplane.

Parser mengekstrak kolom dari syslog Cisco Secure ACS dan log berformat key-value. Log ini menggunakan grok dan/atau kv untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke antarmuka web Cisco Secure ACS

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_ACS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

  • Ganti placeholder berikut:

    • Konfigurasi penerima:

      • udplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
      • 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
      • 514: Nomor port yang akan diproses (port syslog standar)

    • Konfigurasi eksportir:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
      • endpoint: URL endpoint regional:
        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
      • log_type: Jenis log persis seperti yang muncul di Chronicle (CISCO_ACS)

Simpan file konfigurasi

  • Setelah mengedit, simpan file:
    • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
    • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

        sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

        sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan Syslog di Cisco Secure ACS

  1. Login ke antarmuka web Cisco Secure ACS.
  2. Buka System Administration > Configuration > Log Configuration > Remote Log Targets.
  3. Klik Buat untuk menambahkan target log jarak jauh baru.
  4. Berikan detail konfigurasi berikut:
    • Name: Masukkan nama deskriptif (misalnya, Google-SecOps-Bindplane).
    • Deskripsi: Masukkan deskripsi (opsional).
    • Alamat IP: Masukkan alamat IP host agen Bindplane.
    • Port: Masukkan 514.
    • Kode Fasilitas: Pilih LOCAL6 (atau fasilitas pilihan Anda).
  5. Klik Kirim.
  6. Buka System Administration > Configuration > Log Configuration > Logging Categories.
  7. Pilih kategori log yang akan diteruskan:
    • Audit AAA
    • Diagnostik AAA
    • Audit Administratif dan Operasional
    • Diagnostik Sistem
  8. Untuk setiap kategori yang dipilih, klik nama kategori.
  9. Buka tab Target Log Jarak Jauh.
  10. Pindahkan target log jarak jauh yang dibuat (misalnya, Google-SecOps-Bindplane) dari Tersedia ke Dipilih.
  11. Klik Simpan.
  12. Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
Acct-Authentic additional.fields[].value.string_value Nilai diambil dari kolom Acct-Authentic.
Acct-Delay-Time additional.fields[].value.string_value Nilai diambil dari kolom Acct-Delay-Time.
Acct-Input-Octets additional.fields[].value.string_value Nilai diambil dari kolom Acct-Input-Octets.
Acct-Input-Packets additional.fields[].value.string_value Nilai diambil dari kolom Acct-Input-Packets.
Acct-Output-Octets additional.fields[].value.string_value Nilai diambil dari kolom Acct-Output-Octets.
Acct-Output-Packets additional.fields[].value.string_value Nilai diambil dari kolom Acct-Output-Packets.
Acct-Session-Id additional.fields[].value.string_value Nilai diambil dari kolom Acct-Session-Id.
Acct-Session-Time additional.fields[].value.string_value Nilai diambil dari kolom Acct-Session-Time.
Acct-Status-Type additional.fields[].value.string_value Nilai diambil dari kolom Acct-Status-Type.
Acct-Terminate-Cause additional.fields[].value.string_value Nilai diambil dari kolom Acct-Terminate-Cause.
ACSVersion additional.fields[].value.string_value Nilai diambil dari kolom ACSVersion.
AD-Domain principal.group.group_display_name Nilai diambil dari kolom AD-Domain.
AD-IP-Address principal.ip Nilai diambil dari kolom AD-IP-Address.
Called-Station-ID additional.fields[].value.string_value Nilai diambil dari kolom Called-Station-ID.
Calling-Station-ID additional.fields[].value.string_value Nilai diambil dari kolom Calling-Station-ID.
Class additional.fields[].value.string_value Nilai diambil dari kolom Class.
CmdSet (tidak dipetakan) Tidak dipetakan ke objek IDM.
ConfigVersionId additional.fields[].value.number_value Nilai diambil dari kolom ConfigVersionId dan dikonversi menjadi float.
DestinationIPAddress target.ip, intermediary.ip Nilai diambil dari kolom DestinationIPAddress. intermediary.ip berasal dari Alamat IP Perangkat.
DestinationPort target.port Nilai diambil dari kolom DestinationPort dan dikonversi menjadi bilangan bulat.
Alamat IP Perangkat intermediary.ip Nilai diambil dari kolom Alamat IP Perangkat.
Port Perangkat intermediary.port Nilai diambil dari kolom Port Perangkat dan dikonversi menjadi bilangan bulat.
DetailedInfo security_result.summary, security_result.description, security_result.action Jika DetailedInfo adalah "Authentication succeed", security_result.summary adalah "successful login occurred" dan security_result.action adalah ALLOW. Jika DetailedInfo berisi "Invalid username or password specified", security_result.summary adalah "failed login occurred" dan security_result.action adalah BLOCK. security_result.description berasal dari log_header.
Framed-IP-Address principal.ip Nilai diambil dari kolom Framed-IP-Address.
Framed-Protocol additional.fields[].value.string_value Nilai diambil dari kolom Framed-Protocol.
NAS-IP-Address target.ip Nilai diambil dari kolom NAS-IP-Address.
NAS-Port additional.fields[].value.string_value Nilai diambil dari kolom NAS-Port.
NAS-Port-Id target.port Nilai diambil dari kolom NAS-Port-Id dan dikonversi menjadi bilangan bulat.
NAS-Port-Type additional.fields[].value.string_value Nilai diambil dari kolom NAS-Port-Type.
NetworkDeviceName target.hostname Nilai diambil dari kolom NetworkDeviceName.
Protokol additional.fields[].value.string_value Nilai diambil dari kolom Protocol.
RadiusPacketType (tidak dipetakan) Tidak dipetakan ke objek IDM.
Remote-Address principal.ip, target.ip Nilai diambil dari kolom Remote-Address dan diuraikan sebagai alamat IP. Kolom ini dipetakan ke principal.ip untuk peristiwa autentikasi dan target.ip untuk peristiwa akuntansi dan diagnostik.
RequestLatency additional.fields[].value.string_value Nilai diambil dari kolom RequestLatency.
Respons principal.user.userid Jika Respons berisi "User-Name", nama pengguna akan diekstrak dan dipetakan ke principal.user.userid.
SelectedAccessService additional.fields[].value.string_value Nilai diambil dari kolom SelectedAccessService.
SelectedAuthenticationIdentityStores security_result.detection_fields[].value Nilai diambil dari kolom SelectedAuthenticationIdentityStores.
SelectedAuthorizationProfiles security_result.detection_fields[].value Nilai diambil dari kolom SelectedAuthorizationProfiles.
Service-Type additional.fields[].value.string_value Nilai diambil dari kolom Service-Type.
Tunnel-Client-Endpoint additional.fields[].value.string_value Nilai diambil dari kolom Tunnel-Client-Endpoint dan diuraikan sebagai alamat IP.
Pengguna target.user.userid Nilai diambil dari kolom Pengguna.
NamaPengguna target.user.userid, principal.mac Jika UserName adalah alamat MAC, UserName akan diuraikan dan dipetakan ke principal.mac. Jika tidak, UserName akan dipetakan ke target.user.userid.
ac-user-agent network.http.user_agent Nilai diambil dari kolom ac-user-agent.
cat metadata.description Nilai diambil dari kolom cat.
device-mac principal.mac Nilai diambil dari kolom device-mac, titik dua ditambahkan, dan nilai dikonversi menjadi huruf kecil. Jika device-mac adalah "00", maka akan diganti dengan "00:00:00:00:00:00".
device-platform principal.asset.platform_software.platform Jika device-platform adalah "win", nilai "WINDOWS" ditetapkan ke principal.asset.platform_software.platform.
device-platform-version principal.asset.platform_software.platform_version Nilai diambil dari kolom device-platform-version.
device-public-mac principal.mac Nilai diambil dari kolom device-public-mac, tanda hubung diganti dengan titik dua, dan nilai dikonversi menjadi huruf kecil.
device-type principal.asset.hardware.model Nilai diambil dari kolom jenis perangkat.
device-uid principal.asset.asset_id Nilai diambil dari kolom device-uid dan diawali dengan "ASSET ID: ".
device-uid-global principal.asset.product_object_id Nilai diambil dari kolom device-uid-global.
hostname principal.hostname Nilai diambil dari kolom nama host.
ip:source-ip principal.ip Nilai diambil dari kolom ip:source-ip.
kv.ADDomain (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.Airespace-Wlan-Id (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.AuthenticationIdentityStore (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.AVPair (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.ExternalGroups (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.FailureReason (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.IdentityAccessRestricted (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.IdentityGroup (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.NAS-Identifier (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.SelectedShellProfile (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.ServiceSelectionMatchedRule (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.State (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.Step (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.Tunnel-Medium-Type (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.Tunnel-Private-Group-ID (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.Tunnel-Type (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.UseCase (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.UserIdentityGroup (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.VendorSpecific (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.attribute-131 (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.attribute-89 (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.cisco-av-pair (tidak dipetakan) Tidak dipetakan ke objek IDM.
kv.cisco-av-pair:CiscoSecure-Group-Id (tidak dipetakan) Tidak dipetakan ke objek IDM.
leef_version (tidak dipetakan) Tidak dipetakan ke objek IDM.
log_header metadata.description Nilai diambil dari kolom log_header.
log_id metadata.product_log_id Nilai diambil dari kolom log_id.
log_type metadata.product_event_type Nilai diambil dari kolom log_type.
message_severity (tidak dipetakan) Tidak dipetakan ke objek IDM.
produk metadata.product_name Nilai diambil dari kolom produk.
product_version metadata.product_version Nilai diambil dari kolom product_version.
server_host target.hostname Nilai diambil dari kolom server_host.
timestamp metadata.event_timestamp Nilai diambil dari kolom stempel waktu dan kolom zona waktu (setelah menghapus titik dua). Nilai gabungan diuraikan sebagai stempel waktu.
url network.dns.questions[].name Nilai diambil dari kolom URL.
vendor metadata.vendor_name Nilai diambil dari kolom vendor. Awalnya disetel ke "GENERIC_EVENT", lalu berpotensi diganti berdasarkan log_type dan kolom yang diuraikan. Dapat berupa "USER_LOGIN", "USER_UNCATEGORIZED", "NETWORK_DNS", "NETWORK_CONNECTION", "STATUS_UPDATE", atau "STATUS_UNCATEGORIZED". Awalnya ditetapkan ke "Cisco", lalu berpotensi diganti oleh kolom vendor. Awalnya disetel ke "ACS", lalu berpotensi digantikan oleh kolom produk. Tetapkan ke "CISCO_ACS". Tetapkan ke "USERNAME_PASSWORD". Tetapkan ke "TACACS". Setel ke "UDP" untuk peristiwa diagnostik dan pencatatan RADIUS. Disetel ke "DNS" untuk peristiwa DNS. Diperoleh dari kolom security_action, yang ditetapkan berdasarkan apakah login berhasil atau tidak. Disetel ke "login berhasil terjadi" untuk login yang berhasil dan "login gagal terjadi" untuk login yang gagal. Mungkin juga ditetapkan ke "passed" untuk peristiwa diagnostik penyimpanan identitas tertentu. Disetel ke "RENDAH" untuk upaya login yang gagal. Dibuat dengan menambahkan "ID ASET: " ke kolom device-uid.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.