收集 Cisco Secure ACS 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Cisco Secure ACS 記錄擷取至 Google Security Operations。

剖析器會從 Cisco Secure ACS 系統記錄和鍵/值格式記錄中擷取欄位。剖析器會使用 grok 和/或 kv 剖析記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Cisco Secure ACS 網頁介面的權限存取

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_ACS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

替換下列預留位置：
- 接收器設定：
  - udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
  - 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
  - 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：記錄類型，與 Chronicle 中顯示的完全相同 (CISCO_ACS)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

  sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

  sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Cisco Secure ACS 上設定 Syslog 轉送

登入 Cisco Secure ACS 網頁介面。
依序前往「系統管理」>「設定」>「記錄設定」>「遠端記錄目標」。
按一下「建立」，新增遠端記錄目標。
請提供下列設定詳細資料：
- 名稱：輸入描述性名稱 (例如 Google-SecOps-Bindplane)。
- 說明：輸入說明 (選填)。
- IP 位址：輸入 Bindplane 代理程式主機的 IP 位址。
- 「Port」(通訊埠)：輸入 514。
- 設施代碼：選取 LOCAL6 (或偏好的設施)。
按一下「提交」。
依序前往「系統管理」>「設定」>「記錄設定」>「記錄類別」。
選取要轉送的記錄類別：
- AAA 稽核
- AAA 診斷
- 行政和作業稽核
- 系統診斷
針對每個選取的類別，按一下類別名稱。
前往「Remote Log Target」(遠端記錄目標) 分頁。
將建立的遠端記錄檔目標 (例如 Google-SecOps-Bindplane) 從「Available」(可用) 移至「Selected」(已選取)。
按一下 [儲存]。
檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
Acct-Authentic	additional.fields[].value.string_value	值取自 Acct-Authentic 欄位。
Acct-Delay-Time	additional.fields[].value.string_value	值取自 Acct-Delay-Time 欄位。
Acct-Input-Octets	additional.fields[].value.string_value	值取自 Acct-Input-Octets 欄位。
Acct-Input-Packets	additional.fields[].value.string_value	值取自 Acct-Input-Packets 欄位。
Acct-Output-Octets	additional.fields[].value.string_value	值取自 Acct-Output-Octets 欄位。
Acct-Output-Packets	additional.fields[].value.string_value	值取自 Acct-Output-Packets 欄位。
Acct-Session-Id	additional.fields[].value.string_value	值取自 Acct-Session-Id 欄位。
Acct-Session-Time	additional.fields[].value.string_value	值取自 Acct-Session-Time 欄位。
Acct-Status-Type	additional.fields[].value.string_value	值取自 Acct-Status-Type 欄位。
Acct-Terminate-Cause	additional.fields[].value.string_value	值取自 Acct-Terminate-Cause 欄位。
ACSVersion	additional.fields[].value.string_value	值取自 ACSVersion 欄位。
AD 網域	principal.group.group_display_name	值取自 AD 網域欄位。
AD-IP-Address	principal.ip	值取自 AD-IP-Address 欄位。
Called-Station-ID	additional.fields[].value.string_value	值取自 Called-Station-ID 欄位。
Calling-Station-ID	additional.fields[].value.string_value	值取自 Calling-Station-ID 欄位。
類別	additional.fields[].value.string_value	值取自「類別」欄位。
CmdSet	(未對應)	未對應至 IDM 物件。
ConfigVersionId	additional.fields[].value.number_value	系統會從 ConfigVersionId 欄位取得值，並轉換為浮點數。
DestinationIPAddress	target.ip、intermediary.ip	值取自 DestinationIPAddress 欄位。intermediary.ip 衍生自裝置 IP 位址。
DestinationPort	target.port	值取自 DestinationPort 欄位，並轉換為整數。
裝置 IP 位址	intermediary.ip	值取自「裝置 IP 位址」欄位。
裝置連接埠	intermediary.port	值取自「裝置連接埠」欄位，並轉換為整數。
DetailedInfo	security_result.summary、security_result.description、security_result.action	如果 DetailedInfo 是「Authentication succeed」，security_result.summary 就是「successful login occurred」，而 security_result.action 則是 ALLOW。如果 DetailedInfo 包含「Invalid username or password specified」，security_result.summary 為「failed login occurred」，且 security_result.action 為 BLOCK。security_result.description 衍生自 log_header。
Framed-IP-Address	principal.ip	值取自 Framed-IP-Address 欄位。
Framed-Protocol	additional.fields[].value.string_value	值取自 Framed-Protocol 欄位。
NAS-IP-Address	target.ip	值取自 NAS-IP-Address 欄位。
NAS-Port	additional.fields[].value.string_value	值取自 NAS-Port 欄位。
NAS-Port-Id	target.port	值取自 NAS-Port-Id 欄位，並轉換為整數。
NAS-Port-Type	additional.fields[].value.string_value	值取自 NAS-Port-Type 欄位。
NetworkDeviceName	target.hostname	值取自 NetworkDeviceName 欄位。
通訊協定	additional.fields[].value.string_value	值取自「通訊協定」欄位。
RadiusPacketType	(未對應)	未對應至 IDM 物件。
Remote-Address	principal.ip、target.ip	值取自「Remote-Address」欄位，並剖析為 IP 位址。驗證事件會對應至 principal.ip，會計和診斷事件則會對應至 target.ip。
RequestLatency	additional.fields[].value.string_value	值取自 RequestLatency 欄位。
回應	principal.user.userid	如果「Response」包含「User-Name」，系統會擷取使用者名稱並對應至 principal.user.userid。
SelectedAccessService	additional.fields[].value.string_value	值取自 SelectedAccessService 欄位。
SelectedAuthenticationIdentityStores	security_result.detection_fields[].value	值取自 SelectedAuthenticationIdentityStores 欄位。
SelectedAuthorizationProfiles	security_result.detection_fields[].value	值取自 SelectedAuthorizationProfiles 欄位。
Service-Type	additional.fields[].value.string_value	值取自「服務類型」欄位。
Tunnel-Client-Endpoint	additional.fields[].value.string_value	值取自 Tunnel-Client-Endpoint 欄位，並剖析為 IP 位址。
使用者	target.user.userid	值取自「使用者」欄位。
使用者名稱	target.user.userid、principal.mac	如果 UserName 是 MAC 位址，系統會剖析並對應至 principal.mac。否則，系統會對應至 target.user.userid。
ac-user-agent	network.http.user_agent	值取自 ac-user-agent 欄位。
cat	metadata.description	值取自 cat 欄位。
device-mac	principal.mac	值取自 device-mac 欄位，並加入半形冒號，然後轉換為小寫。如果裝置 MAC 位址為「00」，則會替換為「00:00:00:00:00:00」。
device-platform	principal.asset.platform_software.platform	如果裝置平台為「win」，系統會將「WINDOWS」值指派給 principal.asset.platform_software.platform。
device-platform-version	principal.asset.platform_software.platform_version	值取自 device-platform-version 欄位。
device-public-mac	principal.mac	值取自 device-public-mac 欄位，連字號會替換為半形冒號，且值會轉換為小寫。
device-type	principal.asset.hardware.model	值取自裝置類型欄位。
device-uid	principal.asset.asset_id	值取自 device-uid 欄位，並在開頭加上「ASSET ID: 」。
device-uid-global	principal.asset.product_object_id	值取自 device-uid-global 欄位。
主機名稱	principal.hostname	值取自主機名稱欄位。
ip:source-ip	principal.ip	值取自 ip:source-ip 欄位。
kv.ADDomain	(未對應)	未對應至 IDM 物件。
kv.Airespace-Wlan-Id	(未對應)	未對應至 IDM 物件。
kv.AuthenticationIdentityStore	(未對應)	未對應至 IDM 物件。
kv.AVPair	(未對應)	未對應至 IDM 物件。
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name	(未對應)	未對應至 IDM 物件。
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools	(未對應)	未對應至 IDM 物件。
kv.ExternalGroups	(未對應)	未對應至 IDM 物件。
kv.FailureReason	(未對應)	未對應至 IDM 物件。
kv.IdentityAccessRestricted	(未對應)	未對應至 IDM 物件。
kv.IdentityGroup	(未對應)	未對應至 IDM 物件。
kv.NAS-Identifier	(未對應)	未對應至 IDM 物件。
kv.SelectedShellProfile	(未對應)	未對應至 IDM 物件。
kv.ServiceSelectionMatchedRule	(未對應)	未對應至 IDM 物件。
kv.State	(未對應)	未對應至 IDM 物件。
kv.Step	(未對應)	未對應至 IDM 物件。
kv.Tunnel-Medium-Type	(未對應)	未對應至 IDM 物件。
kv.Tunnel-Private-Group-ID	(未對應)	未對應至 IDM 物件。
kv.Tunnel-Type	(未對應)	未對應至 IDM 物件。
kv.UseCase	(未對應)	未對應至 IDM 物件。
kv.UserIdentityGroup	(未對應)	未對應至 IDM 物件。
kv.VendorSpecific	(未對應)	未對應至 IDM 物件。
kv.attribute-131	(未對應)	未對應至 IDM 物件。
kv.attribute-89	(未對應)	未對應至 IDM 物件。
kv.cisco-av-pair	(未對應)	未對應至 IDM 物件。
kv.cisco-av-pair:CiscoSecure-Group-Id	(未對應)	未對應至 IDM 物件。
leef_version	(未對應)	未對應至 IDM 物件。
log_header	metadata.description	值取自 log_header 欄位。
log_id	metadata.product_log_id	值取自 log_id 欄位。
log_type	metadata.product_event_type	值取自 log_type 欄位。
message_severity	(未對應)	未對應至 IDM 物件。
產品	metadata.product_name	值取自產品欄位。
product_version	metadata.product_version	值取自 product_version 欄位。
server_host	target.hostname	值取自 server_host 欄位。
時間戳記	metadata.event_timestamp	值取自時間戳記欄位和時區欄位 (移除半形冒號後)。系統會將合併值剖析為時間戳記。
網址	network.dns.questions[].name	值取自網址欄位。
vendor	metadata.vendor_name	值取自供應商欄位。一開始設為「GENERIC_EVENT」，然後可能會根據 log_type 和已剖析的欄位覆寫。可以是「USER_LOGIN」、「USER_UNCATEGORIZED」、「NETWORK_DNS」、「NETWORK_CONNECTION」、「STATUS_UPDATE」或「STATUS_UNCATEGORIZED」。一開始設為「Cisco」，之後可能會由供應商欄位覆寫。一開始設為「ACS」，之後可能會由產品欄位覆寫。設為「CISCO_ACS」。設為「USERNAME_PASSWORD」。設為「TACACS」。針對 RADIUS 帳戶和診斷事件，設為「UDP」。如果是 DNS 事件，請設為「DNS」。衍生自 security_action 欄位，該欄位會根據登入是否成功而設定。成功登入時設為「successful login occurred」，登入失敗時設為「failed login occurred」。對於特定身分儲存庫診斷事件，也可能設為「passed」。如果嘗試登入失敗，請設為「低」。在 device-uid 欄位前面加上「ASSET ID: 」即可建構。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。