Cisco Secure ACS-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco Secure ACS-Logs mit Bindplane in Google Security Operations aufnehmen.

Der Parser extrahiert Felder aus Syslog- und Schlüssel/Wert-formatierten Logs von Cisco Secure ACS. Die Log-Nachricht wird mit „grok“ und/oder „kv“ geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die Cisco Secure ACS-Weboberfläche

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_ACS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (CISCO_ACS)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung auf Cisco Secure ACS konfigurieren

  1. Melden Sie sich in der Weboberfläche von Cisco Secure ACS an.
  2. Gehen Sie zu System Administration> Configuration> Log Configuration> Remote Log Targets (Systemverwaltung > Konfiguration > Protokollkonfiguration > Remote-Protokollziele).
  3. Klicken Sie auf Erstellen, um ein neues Remote-Log-Ziel hinzuzufügen.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google-SecOps-Bindplane.
    • Beschreibung: Geben Sie eine Beschreibung ein (optional).
    • IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Port: Geben Sie 514 ein.
    • Einrichtungscode: Wählen Sie LOCAL6 (oder die gewünschte Einrichtung) aus.
  5. Klicken Sie auf Senden.
  6. Gehen Sie zu Systemadministration > Konfiguration > Protokollkonfiguration > Protokollierungskategorien.
  7. Wählen Sie die Protokollkategorien aus, die weitergeleitet werden sollen:
    • AAA-Audit
    • AAA-Diagnose
    • Administrativer und operativer Audit
    • Systemdiagnose
  8. Klicken Sie für jede ausgewählte Kategorie auf den Kategorienamen.
  9. Rufen Sie den Tab Remote Log Target auf.
  10. Verschieben Sie das erstellte Remote-Log-Ziel (z. B. Google-SecOps-Bindplane) von Verfügbar nach Ausgewählt.
  11. Klicken Sie auf Speichern.
  12. Prüfen Sie in den Bindplane-Agent-Logs, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Acct-Authentic additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Authentic“ übernommen.
Acct-Delay-Time additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Delay-Time“ übernommen.
Acct-Input-Octets additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Input-Octets“ übernommen.
Acct-Input-Packets additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Input-Packets“ übernommen.
Acct-Output-Octets additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Output-Octets“ übernommen.
Acct-Output-Packets additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Output-Packets“ übernommen.
Acct-Session-Id additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Session-Id“ übernommen.
Acct-Session-Time additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Session-Time“ übernommen.
Acct-Status-Type additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Status-Type“ übernommen.
Acct-Terminate-Cause additional.fields[].value.string_value Der Wert wird aus dem Feld „Acct-Terminate-Cause“ übernommen.
ACSVersion additional.fields[].value.string_value Der Wert wird aus dem Feld „ACSVersion“ übernommen.
AD-Domain principal.group.group_display_name Der Wert wird aus dem Feld „AD-Domain“ übernommen.
AD-IP-Adresse principal.ip Der Wert wird aus dem Feld „AD-IP-Adresse“ übernommen.
Called-Station-ID additional.fields[].value.string_value Der Wert wird aus dem Feld „Called-Station-ID“ übernommen.
Calling-Station-ID additional.fields[].value.string_value Der Wert wird aus dem Feld „Calling-Station-ID“ übernommen.
Klasse additional.fields[].value.string_value Der Wert wird aus dem Feld „Klasse“ übernommen.
CmdSet (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
ConfigVersionId additional.fields[].value.number_value Der Wert wird aus dem Feld „ConfigVersionId“ übernommen und in eine Gleitkommazahl konvertiert.
DestinationIPAddress target.ip, intermediary.ip Der Wert wird aus dem Feld „DestinationIPAddress“ übernommen. „intermediary.ip“ wird aus der Geräte-IP-Adresse abgeleitet.
DestinationPort target.port Der Wert wird aus dem Feld „DestinationPort“ übernommen und in eine Ganzzahl konvertiert.
Geräte-IP-Adresse intermediary.ip Der Wert wird aus dem Feld „IP-Adresse des Geräts“ übernommen.
Geräteanschluss intermediary.port Der Wert wird aus dem Feld „Geräteport“ übernommen und in eine Ganzzahl konvertiert.
DetailedInfo security_result.summary, security_result.description, security_result.action Wenn DetailedInfo „Authentication succeed“ lautet, ist security_result.summary „successful login occurred“ und security_result.action „ALLOW“. Wenn „DetailedInfo“ die Meldung „Invalid username or password specified“ (Ungültiger Nutzername oder ungültiges Passwort angegeben) enthält, ist „security_result.summary“ die Meldung „failed login occurred“ (Anmeldung fehlgeschlagen) und „security_result.action“ die Meldung „BLOCK“ (BLOCKIEREN). „security_result.description“ wird aus „log_header“ abgeleitet.
Framed-IP-Address principal.ip Der Wert wird aus dem Feld „Framed-IP-Address“ übernommen.
Framed-Protocol additional.fields[].value.string_value Der Wert wird aus dem Feld „Framed-Protocol“ übernommen.
NAS-IP-Adresse target.ip Der Wert wird aus dem Feld „NAS-IP-Address“ übernommen.
NAS-Port additional.fields[].value.string_value Der Wert wird aus dem Feld „NAS-Port“ übernommen.
NAS-Port-ID target.port Der Wert wird aus dem Feld „NAS-Port-Id“ übernommen und in eine Ganzzahl konvertiert.
NAS-Port-Typ additional.fields[].value.string_value Der Wert wird aus dem Feld „NAS-Port-Type“ übernommen.
NetworkDeviceName target.hostname Der Wert wird aus dem Feld „NetworkDeviceName“ übernommen.
Protokoll additional.fields[].value.string_value Der Wert wird aus dem Feld „Protocol“ (Protokoll) übernommen.
RadiusPacketType (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
Remote-Adresse principal.ip, target.ip Der Wert wird aus dem Feld „Remote-Address“ übernommen und als IP-Adresse geparst. Sie wird für Authentifizierungsereignisse auf „principal.ip“ und für Abrechnungs- und Diagnoseereignisse auf „target.ip“ abgebildet.
RequestLatency additional.fields[].value.string_value Der Wert wird aus dem Feld „RequestLatency“ übernommen.
Antwort principal.user.userid Wenn die Antwort „User-Name“ enthält, wird der Nutzername extrahiert und principal.user.userid zugeordnet.
SelectedAccessService additional.fields[].value.string_value Der Wert wird aus dem Feld „SelectedAccessService“ übernommen.
SelectedAuthenticationIdentityStores security_result.detection_fields[].value Der Wert stammt aus dem Feld „SelectedAuthenticationIdentityStores“.
SelectedAuthorizationProfiles security_result.detection_fields[].value Der Wert stammt aus dem Feld „SelectedAuthorizationProfiles“.
Service-Type additional.fields[].value.string_value Der Wert wird aus dem Feld „Service-Type“ (Diensttyp) übernommen.
Tunnel-Client-Endpunkt additional.fields[].value.string_value Der Wert wird aus dem Feld „Tunnel-Client-Endpoint“ übernommen und als IP-Adresse geparst.
Nutzer target.user.userid Der Wert wird aus dem Feld „Nutzer“ übernommen.
Nutzername target.user.userid, principal.mac Wenn UserName eine MAC-Adresse ist, wird sie geparst und principal.mac zugeordnet. Andernfalls wird sie target.user.userid zugeordnet.
ac-user-agent network.http.user_agent Der Wert wird aus dem Feld „ac-user-agent“ übernommen.
cat metadata.description Der Wert wird aus dem Feld „cat“ übernommen.
device-mac principal.mac Der Wert wird aus dem Feld „device-mac“ übernommen, es werden Doppelpunkte hinzugefügt und der Wert wird in Kleinbuchstaben konvertiert. Wenn „device-mac“ „00“ ist, wird es durch „00:00:00:00:00:00“ ersetzt.
device-platform principal.asset.platform_software.platform Wenn „device-platform“ „win“ ist, wird dem Wert „principal.asset.platform_software.platform“ der Wert „WINDOWS“ zugewiesen.
device-platform-version principal.asset.platform_software.platform_version Der Wert wird aus dem Feld „device-platform-version“ übernommen.
device-public-mac principal.mac Der Wert wird aus dem Feld „device-public-mac“ übernommen, Bindestriche werden durch Doppelpunkte ersetzt und der Wert wird in Kleinbuchstaben umgewandelt.
device-type principal.asset.hardware.model Der Wert wird aus dem Feld „device-type“ übernommen.
device-uid principal.asset.asset_id Der Wert wird aus dem Feld „device-uid“ übernommen und mit „ASSET ID: “ vorangestellt.
device-uid-global principal.asset.product_object_id Der Wert wird aus dem Feld „device-uid-global“ übernommen.
Hostname principal.hostname Der Wert wird aus dem Feld „Hostname“ übernommen.
ip:source-ip principal.ip Der Wert wird aus dem Feld „ip:source-ip“ übernommen.
kv.ADDomain (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.Airespace-Wlan-Id (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.AuthenticationIdentityStore (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.AVPair (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.ExternalGroups (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.FailureReason (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.IdentityAccessRestricted (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.IdentityGroup (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.NAS-Identifier (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.SelectedShellProfile (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.ServiceSelectionMatchedRule (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.State (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.Step (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.Tunnel-Medium-Type (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.Tunnel-Private-Group-ID (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.Tunnel-Type (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.UseCase (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.UserIdentityGroup (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.VendorSpecific (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.attribute-131 (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.attribute-89 (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.cisco-av-pair (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
kv.cisco-av-pair:CiscoSecure-Group-Id (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
leef_version (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
log_header metadata.description Der Wert wird aus dem Feld „log_header“ übernommen.
log_id metadata.product_log_id Der Wert wird aus dem Feld „log_id“ übernommen.
log_type metadata.product_event_type Der Wert wird aus dem Feld „log_type“ übernommen.
message_severity (nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
Produkt metadata.product_name Der Wert wird aus dem Produktfeld übernommen.
product_version metadata.product_version Der Wert wird aus dem Feld „product_version“ übernommen.
server_host target.hostname Der Wert wird aus dem Feld „server_host“ übernommen.
timestamp metadata.event_timestamp Der Wert wird aus dem Zeitstempelfeld und dem Zeitzonenfeld (nach dem Entfernen des Doppelpunkts) übernommen. Der kombinierte Wert wird als Zeitstempel geparst.
URL network.dns.questions[].name Der Wert wird aus dem Feld „url“ übernommen.
vendor metadata.vendor_name Der Wert wird aus dem Anbieterfeld übernommen. Wird anfangs auf „GENERIC_EVENT“ festgelegt und dann möglicherweise basierend auf „log_type“ und den geparsten Feldern überschrieben. Kann „USER_LOGIN“, „USER_UNCATEGORIZED“, „NETWORK_DNS“, „NETWORK_CONNECTION“, „STATUS_UPDATE“ oder „STATUS_UNCATEGORIZED“ sein. Anfangs auf „Cisco“ festgelegt, dann möglicherweise durch das Anbieterfeld überschrieben. Anfangs auf „ACS“ festgelegt, dann möglicherweise durch das Produktfeld überschrieben. Legen Sie diesen Wert auf „CISCO_ACS“ fest. Legen Sie diesen Wert auf „USERNAME_PASSWORD“ fest. Legen Sie diesen Wert auf „TACACS“ fest. Auf „UDP“ für RADIUS-Abrechnungs- und Diagnoseereignisse festlegen. Auf „DNS“ für DNS-Ereignisse festgelegt. Abgeleitet vom Feld „security_action“, das basierend darauf festgelegt wird, ob die Anmeldung erfolgreich war oder nicht. Wird bei erfolgreichen Anmeldungen auf „successful login occurred“ und bei fehlgeschlagenen Anmeldungen auf „failed login occurred“ gesetzt. Kann auch für bestimmte Diagnoseereignisse des Identitätsspeichers auf „passed“ gesetzt werden. Auf „LOW“ für fehlgeschlagene Anmeldeversuche festlegen. Wird erstellt, indem dem Feld „device-uid“ „ASSET ID: “ vorangestellt wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten