Recopila registros de Cisco Secure ACS

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Cisco Secure ACS a Google Security Operations con Bindplane.

El analizador extrae campos de los registros con formato de clave-valor y de syslog de Cisco Secure ACS. Utiliza grok o kv para analizar el mensaje de registro y, luego, asigna estos valores al Modelo de datos unificados (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la interfaz web de Cisco Secure ACS

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```

El servicio debe mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```

El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml con la siguiente configuración:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_ACS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:
- Configuración del receptor:
  - udplog: Usa udplog para el registro del sistema UDP o tcplog para el registro del sistema TCP.
  - 0.0.0.0: Dirección IP en la que se realizará la escucha (0.0.0.0 para escuchar en todas las interfaces)
  - 514: Número de puerto en el que se debe escuchar (puerto syslog estándar)
- Configuración del exportador:
  - creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: ID de cliente de la sección Obtén el ID de cliente
  - endpoint: URL del extremo regional:
    - EE.UU.: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulta Extremos regionales para obtener la lista completa.
  - log_type: Tipo de registro tal como aparece en Chronicle (CISCO_ACS)

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
  sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
  sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de Syslog en Cisco Secure ACS

Accede a la interfaz web de Cisco Secure ACS.
Ve a Administración del sistema > Configuración > Configuración de registros > Destinos de registros remotos.
Haz clic en Crear para agregar un nuevo destino de registro remoto.
Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Google-SecOps-Bindplane).
- Descripción: Ingresa una descripción (opcional).
- Dirección IP: Ingresa la dirección IP del host del agente de Bindplane.
- Puerto: Ingresa 514.
- Código de la instalación: Selecciona LOCAL6 (o la instalación que prefieras).
Haz clic en Enviar.
Ve a Administración del sistema > Configuración > Configuración de registros > Categorías de registros.
Selecciona las categorías de registros que deseas reenviar:
- Auditoría de AAA
- AAA Diagnostics
- Auditoría administrativa y operativa
- Diagnóstico del sistema
Para cada categoría seleccionada, haz clic en el nombre de la categoría.
Ve a la pestaña Destino de registro remoto.
Mueve el destino de registro remoto creado (por ejemplo, Google-SecOps-Bindplane) de Disponible a Seleccionado.
Haz clic en Guardar.
Para verificar que se envíen los mensajes de syslog, consulta los registros del agente de Bindplane.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Acct-Authentic	additional.fields[].value.string_value	El valor se toma del campo Acct-Authentic.
Acct-Delay-Time	additional.fields[].value.string_value	El valor se toma del campo Acct-Delay-Time.
Acct-Input-Octets	additional.fields[].value.string_value	El valor se toma del campo Acct-Input-Octets.
Acct-Input-Packets	additional.fields[].value.string_value	El valor se toma del campo Acct-Input-Packets.
Acct-Output-Octets	additional.fields[].value.string_value	El valor se toma del campo Acct-Output-Octets.
Acct-Output-Packets	additional.fields[].value.string_value	El valor se toma del campo Acct-Output-Packets.
Acct-Session-Id	additional.fields[].value.string_value	El valor se toma del campo Acct-Session-Id.
Acct-Session-Time	additional.fields[].value.string_value	El valor se toma del campo Acct-Session-Time.
Acct-Status-Type	additional.fields[].value.string_value	El valor se toma del campo Acct-Status-Type.
Acct-Terminate-Cause	additional.fields[].value.string_value	El valor se toma del campo Acct-Terminate-Cause.
ACSVersion	additional.fields[].value.string_value	El valor se toma del campo ACSVersion.
Dominio de AD	principal.group.group_display_name	El valor se toma del campo AD-Domain.
AD-IP-Address	principal.ip	El valor se toma del campo AD-IP-Address.
Called-Station-ID	additional.fields[].value.string_value	El valor se toma del campo Called-Station-ID.
Calling-Station-ID	additional.fields[].value.string_value	El valor se toma del campo Calling-Station-ID.
Clase	additional.fields[].value.string_value	El valor se toma del campo Clase.
CmdSet	(sin asignar)	No se asignó al objeto IDM.
ConfigVersionId	additional.fields[].value.number_value	El valor se toma del campo ConfigVersionId y se convierte en un número de punto flotante.
DestinationIPAddress	target.ip, intermediary.ip	El valor se toma del campo DestinationIPAddress. intermediary.ip se deriva de la dirección IP del dispositivo.
DestinationPort	target.port	El valor se toma del campo DestinationPort y se convierte en un número entero.
Dirección IP del dispositivo	intermediary.ip	El valor se toma del campo Dirección IP del dispositivo.
Puerto del dispositivo	intermediary.port	El valor se toma del campo Puerto del dispositivo y se convierte en un número entero.
DetailedInfo	security_result.summary, security_result.description, security_result.action	Si DetailedInfo es "Authentication succeed", security_result.summary es "successful login occurred" y security_result.action es ALLOW. Si DetailedInfo contiene "Invalid username or password specified", security_result.summary es "failed login occurred" y security_result.action es BLOCK. security_result.description se deriva de log_header.
Framed-IP-Address	principal.ip	El valor se toma del campo Framed-IP-Address.
Framed-Protocol	additional.fields[].value.string_value	El valor se toma del campo Framed-Protocol.
NAS-IP-Address	target.ip	El valor se toma del campo NAS-IP-Address.
NAS-Port	additional.fields[].value.string_value	El valor se toma del campo NAS-Port.
NAS-Port-Id	target.port	El valor se toma del campo NAS-Port-Id y se convierte en un número entero.
NAS-Port-Type	additional.fields[].value.string_value	El valor se toma del campo NAS-Port-Type.
NetworkDeviceName	target.hostname	El valor se toma del campo NetworkDeviceName.
Protocolo	additional.fields[].value.string_value	El valor se toma del campo Protocolo.
RadiusPacketType	(sin asignar)	No se asignó al objeto IDM.
Remote-Address	principal.ip, target.ip	El valor se toma del campo Remote-Address y se analiza como una dirección IP. Se asigna a principal.ip para los eventos de autenticación y a target.ip para los eventos de diagnóstico y contabilidad.
RequestLatency	additional.fields[].value.string_value	El valor se toma del campo RequestLatency.
Respuesta	principal.user.userid	Si la respuesta contiene "User-Name", se extrae el nombre de usuario y se asigna a principal.user.userid.
SelectedAccessService	additional.fields[].value.string_value	El valor se toma del campo SelectedAccessService.
SelectedAuthenticationIdentityStores	security_result.detection_fields[].value	El valor se toma del campo SelectedAuthenticationIdentityStores.
SelectedAuthorizationProfiles	security_result.detection_fields[].value	El valor se toma del campo SelectedAuthorizationProfiles.
Service-Type	additional.fields[].value.string_value	El valor se toma del campo Service-Type.
Tunnel-Client-Endpoint	additional.fields[].value.string_value	El valor se toma del campo Tunnel-Client-Endpoint y se analiza como una dirección IP.
Usuario	target.user.userid	El valor se toma del campo Usuario.
UserName	target.user.userid, principal.mac	Si UserName es una dirección MAC, se analiza y se asigna a principal.mac. De lo contrario, se asigna a target.user.userid.
ac-user-agent	network.http.user_agent	El valor se toma del campo ac-user-agent.
cat	metadata.description	El valor se toma del campo cat.
device-mac	principal.mac	El valor se toma del campo device-mac, se agregan dos puntos y el valor se convierte a minúsculas. Si device-mac es "00", se reemplaza por "00:00:00:00:00:00".
device-platform	principal.asset.platform_software.platform	Si la plataforma del dispositivo es "win", se asigna el valor "WINDOWS" a principal.asset.platform_software.platform.
device-platform-version	principal.asset.platform_software.platform_version	El valor se toma del campo device-platform-version.
device-public-mac	principal.mac	El valor se toma del campo device-public-mac, los guiones se reemplazan por dos puntos y el valor se convierte a minúsculas.
device-type	principal.asset.hardware.model	El valor se toma del campo tipo de dispositivo.
device-uid	principal.asset.asset_id	El valor se toma del campo device-uid y se le antepone "ASSET ID: ".
device-uid-global	principal.asset.product_object_id	El valor se toma del campo device-uid-global.
Nombre de host	principal.hostname	El valor se toma del campo de nombre de host.
ip:source-ip	principal.ip	El valor se toma del campo ip:source-ip.
kv.ADDomain	(sin asignar)	No se asignó al objeto IDM.
kv.Airespace-Wlan-Id	(sin asignar)	No se asignó al objeto IDM.
kv.AuthenticationIdentityStore	(sin asignar)	No se asignó al objeto IDM.
kv.AVPair	(sin asignar)	No se asignó al objeto IDM.
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name	(sin asignar)	No se asignó al objeto IDM.
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools	(sin asignar)	No se asignó al objeto IDM.
kv.ExternalGroups	(sin asignar)	No se asignó al objeto IDM.
kv.FailureReason	(sin asignar)	No se asignó al objeto IDM.
kv.IdentityAccessRestricted	(sin asignar)	No se asignó al objeto IDM.
kv.IdentityGroup	(sin asignar)	No se asignó al objeto IDM.
kv.NAS-Identifier	(sin asignar)	No se asignó al objeto IDM.
kv.SelectedShellProfile	(sin asignar)	No se asignó al objeto IDM.
kv.ServiceSelectionMatchedRule	(sin asignar)	No se asignó al objeto IDM.
kv.State	(sin asignar)	No se asignó al objeto IDM.
kv.Step	(sin asignar)	No se asignó al objeto IDM.
kv.Tunnel-Medium-Type	(sin asignar)	No se asignó al objeto IDM.
kv.Tunnel-Private-Group-ID	(sin asignar)	No se asignó al objeto IDM.
kv.Tunnel-Type	(sin asignar)	No se asignó al objeto IDM.
kv.UseCase	(sin asignar)	No se asignó al objeto IDM.
kv.UserIdentityGroup	(sin asignar)	No se asignó al objeto IDM.
kv.VendorSpecific	(sin asignar)	No se asignó al objeto IDM.
kv.attribute-131	(sin asignar)	No se asignó al objeto IDM.
kv.attribute-89	(sin asignar)	No se asignó al objeto IDM.
kv.cisco-av-pair	(sin asignar)	No se asignó al objeto IDM.
kv.cisco-av-pair:CiscoSecure-Group-Id	(sin asignar)	No se asignó al objeto IDM.
leef_version	(sin asignar)	No se asignó al objeto IDM.
log_header	metadata.description	El valor se toma del campo log_header.
log_id	metadata.product_log_id	El valor se toma del campo log_id.
log_type	metadata.product_event_type	El valor se toma del campo log_type.
message_severity	(sin asignar)	No se asignó al objeto IDM.
producto	metadata.product_name	El valor se toma del campo del producto.
product_version	metadata.product_version	El valor se toma del campo product_version.
server_host	target.hostname	El valor se toma del campo server_host.
timestamp	metadata.event_timestamp	El valor se toma del campo de marca de tiempo y del campo de zona horaria (después de quitar los dos puntos). El valor combinado se analiza como una marca de tiempo.
url	network.dns.questions[].name	El valor se toma del campo de URL.
vendor	metadata.vendor_name	El valor se toma del campo de proveedor. Se establece en "GENERIC_EVENT" de forma inicial y, luego, se puede reemplazar según el log_type y los campos analizados. Puede ser "USER_LOGIN", "USER_UNCATEGORIZED", "NETWORK_DNS", "NETWORK_CONNECTION", "STATUS_UPDATE" o "STATUS_UNCATEGORIZED". Se establece en "Cisco" inicialmente y, luego, el campo del proveedor podría reemplazarlo. Se establece en "ACS" de forma inicial y, luego, el campo del producto puede reemplazarlo. Se establece en "CISCO_ACS". Se debe establecer en "USERNAME_PASSWORD". Se debe establecer en "TACACS". Se establece en "UDP" para los eventos de diagnóstico y de registro de RADIUS. Se establece en "DNS" para los eventos de DNS. Se deriva del campo security_action, que se configura según si el acceso fue exitoso o no. Se establece en "Acceso exitoso" para los accesos exitosos y en "Acceso fallido" para los accesos fallidos. También se puede establecer como "passed" para ciertos eventos de diagnóstico del almacén de identidades. Se establece en "LOW" para los intentos de acceso fallidos. Se construye anteponiendo "ASSET ID: " al campo device-uid.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.