Collecter les journaux Cisco Secure ACS
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer des journaux Cisco Secure ACS dans Google Security Operations à l'aide de Bindplane.
L'analyseur extrait les champs des journaux syslog et au format clé-valeur de Cisco Secure ACS. Il utilise grok et/ou kv pour analyser le message de journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à l'interface Web Cisco Secure ACS
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collector
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collector
Le service doit être indiqué comme actif (en cours d'exécution).
Autres ressources d'installation
Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifiez le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_ACS' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
udplog: utilisezudplogpour syslog UDP outcplogpour syslog TCP.0.0.0.0: adresse IP à écouter (0.0.0.0pour écouter sur toutes les interfaces)514: numéro de port à écouter (port syslog standard)
Configuration de l'exportateur :
creds_file_path: chemin d'accès complet au fichier d'authentification de l'ingestion :- Linux :
/etc/bindplane-agent/ingestion-auth.json - Windows :
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux :
YOUR_CUSTOMER_ID: ID client de la section "Obtenir l'ID client"endpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe :
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
log_type: type de journal tel qu'il apparaît dans Chronicle (CISCO_ACS)
Enregistrez le fichier de configuration.
- Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur Fichier > Enregistrer.
- Linux : appuyez sur
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
Invite de commandes ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Localisez observIQ OpenTelemetry Collector.
Effectuez un clic droit, puis sélectionnez Redémarrer.
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Appuyez sur
Configurer le transfert Syslog sur Cisco Secure ACS
- Connectez-vous à l'interface Web Cisco Secure ACS.
- Accédez à Administration du système> Configuration> Configuration des journaux> Cibles de journaux à distance.
- Cliquez sur Créer pour ajouter une cible de journal à distance.
- Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple,
Google-SecOps-Bindplane). - Description : saisissez une description (facultatif).
- Adresse IP : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
- Port : saisissez
514. - Code de l'établissement : sélectionnez LOCAL6 (ou l'établissement de votre choix).
- Nom : saisissez un nom descriptif (par exemple,
- Cliquez sur Envoyer.
- Accédez à Administration du système> Configuration> Configuration des journaux> Catégories de journalisation.
- Sélectionnez les catégories de journaux à transférer :
- Audit AAA
- Diagnostics AAA
- Audit administratif et opérationnel
- Diagnostics système
- Pour chaque catégorie sélectionnée, cliquez sur son nom.
- Accédez à l'onglet Cible du journal à distance.
- Déplacez la cible de journal à distance créée (par exemple,
Google-SecOps-Bindplane) de Available (Disponible) à Selected (Sélectionnée). - Cliquez sur Enregistrer.
- Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| Acct-Authentic | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Authentic". |
| Acct-Delay-Time | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Delay-Time". |
| Acct-Input-Octets | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Input-Octets". |
| Acct-Input-Packets | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Input-Packets". |
| Acct-Output-Octets | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Output-Octets". |
| Acct-Output-Packets | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Output-Packets". |
| Acct-Session-Id | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Session-Id". |
| Acct-Session-Time | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Session-Time". |
| Acct-Status-Type | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Status-Type". |
| Acct-Terminate-Cause | additional.fields[].value.string_value | La valeur est extraite du champ "Acct-Terminate-Cause". |
| ACSVersion | additional.fields[].value.string_value | La valeur est extraite du champ "ACSVersion". |
| Domaine AD | principal.group.group_display_name | La valeur est extraite du champ "AD-Domain". |
| AD-IP-Address | principal.ip | La valeur est extraite du champ "AD-IP-Address". |
| Called-Station-ID | additional.fields[].value.string_value | La valeur est extraite du champ "Called-Station-ID". |
| Calling-Station-ID | additional.fields[].value.string_value | La valeur est extraite du champ "Calling-Station-ID". |
| Classe | additional.fields[].value.string_value | La valeur est extraite du champ "Classe". |
| CmdSet | (non mappé) | Non mappé à l'objet IDM. |
| ConfigVersionId | additional.fields[].value.number_value | La valeur est extraite du champ "ConfigVersionId" et convertie en float. |
| DestinationIPAddress | target.ip, intermediary.ip | La valeur est extraite du champ "DestinationIPAddress". intermediary.ip est dérivé de l'adresse IP de l'appareil. |
| DestinationPort | target.port | La valeur est extraite du champ "DestinationPort" et convertie en entier. |
| Adresse IP de l'appareil | intermediary.ip | La valeur est extraite du champ "Adresse IP de l'appareil". |
| Port de l'appareil | intermediary.port | La valeur est extraite du champ "Port de l'appareil" et convertie en entier. |
| DetailedInfo | security_result.summary, security_result.description, security_result.action | Si DetailedInfo est défini sur "Authentication succeed" (Authentification réussie), security_result.summary est défini sur "successful login occurred" (connexion réussie) et security_result.action est défini sur ALLOW (AUTORISER). Si DetailedInfo contient "Nom d'utilisateur ou mot de passe non valides", security_result.summary est "Échec de la connexion" et security_result.action est BLOCK. security_result.description est dérivé de log_header. |
| Framed-IP-Address | principal.ip | La valeur est extraite du champ "Framed-IP-Address". |
| Framed-Protocol | additional.fields[].value.string_value | La valeur est extraite du champ "Framed-Protocol". |
| NAS-IP-Address | target.ip | La valeur est extraite du champ "NAS-IP-Address". |
| NAS-Port | additional.fields[].value.string_value | La valeur est extraite du champ "NAS-Port". |
| NAS-Port-Id | target.port | La valeur est extraite du champ "NAS-Port-Id" et convertie en entier. |
| NAS-Port-Type | additional.fields[].value.string_value | La valeur est extraite du champ "NAS-Port-Type". |
| NetworkDeviceName | target.hostname | La valeur est extraite du champ "NetworkDeviceName". |
| Protocole | additional.fields[].value.string_value | La valeur est extraite du champ "Protocole". |
| RadiusPacketType | (non mappé) | Non mappé à l'objet IDM. |
| Adresse distante | principal.ip, target.ip | La valeur est extraite du champ "Remote-Address" et analysée en tant qu'adresse IP. Elle est associée à principal.ip pour les événements d'authentification et à target.ip pour les événements de comptabilité et de diagnostic. |
| RequestLatency | additional.fields[].value.string_value | La valeur est extraite du champ "RequestLatency". |
| Réponse | principal.user.userid | Si la réponse contient "User-Name", le nom d'utilisateur est extrait et mappé à principal.user.userid. |
| SelectedAccessService | additional.fields[].value.string_value | La valeur est extraite du champ "SelectedAccessService". |
| SelectedAuthenticationIdentityStores | security_result.detection_fields[].value | La valeur est extraite du champ "SelectedAuthenticationIdentityStores". |
| SelectedAuthorizationProfiles | security_result.detection_fields[].value | La valeur est extraite du champ "SelectedAuthorizationProfiles". |
| Type de service | additional.fields[].value.string_value | La valeur est extraite du champ "Type de service". |
| Tunnel-Client-Endpoint | additional.fields[].value.string_value | La valeur est extraite du champ "Tunnel-Client-Endpoint" et analysée en tant qu'adresse IP. |
| Utilisateur | target.user.userid | La valeur est extraite du champ "Utilisateur". |
| Nom d'utilisateur | target.user.userid, principal.mac | Si UserName est une adresse MAC, elle est analysée et mappée sur principal.mac. Sinon, elle est mappée sur target.user.userid. |
| ac-user-agent | network.http.user_agent | La valeur est extraite du champ ac-user-agent. |
| cat | metadata.description | La valeur est extraite du champ "cat". |
| device-mac | principal.mac | La valeur est extraite du champ "device-mac", des deux-points sont ajoutés et la valeur est convertie en minuscules. Si device-mac est défini sur "00", il est remplacé par "00:00:00:00:00:00". |
| device-platform | principal.asset.platform_software.platform | Si device-platform est défini sur "win", la valeur "WINDOWS" est attribuée à principal.asset.platform_software.platform. |
| device-platform-version | principal.asset.platform_software.platform_version | La valeur est extraite du champ "device-platform-version". |
| device-public-mac | principal.mac | La valeur est extraite du champ "device-public-mac", les tirets sont remplacés par des deux-points et la valeur est convertie en minuscules. |
| device-type | principal.asset.hardware.model | La valeur est extraite du champ "type d'appareil". |
| device-uid | principal.asset.asset_id | La valeur est extraite du champ "device-uid" et est précédée de "ASSET ID: ". |
| device-uid-global | principal.asset.product_object_id | La valeur est extraite du champ "device-uid-global". |
| nom d'hôte | principal.hostname | La valeur est extraite du champ "Nom d'hôte". |
| ip:source-ip | principal.ip | La valeur est extraite du champ "ip:source-ip". |
| kv.ADDomain | (non mappé) | Non mappé à l'objet IDM. |
| kv.Airespace-Wlan-Id | (non mappé) | Non mappé à l'objet IDM. |
| kv.AuthenticationIdentityStore | (non mappé) | Non mappé à l'objet IDM. |
| kv.AVPair | (non mappé) | Non mappé à l'objet IDM. |
| kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name | (non mappé) | Non mappé à l'objet IDM. |
| kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools | (non mappé) | Non mappé à l'objet IDM. |
| kv.ExternalGroups | (non mappé) | Non mappé à l'objet IDM. |
| kv.FailureReason | (non mappé) | Non mappé à l'objet IDM. |
| kv.IdentityAccessRestricted | (non mappé) | Non mappé à l'objet IDM. |
| kv.IdentityGroup | (non mappé) | Non mappé à l'objet IDM. |
| kv.NAS-Identifier | (non mappé) | Non mappé à l'objet IDM. |
| kv.SelectedShellProfile | (non mappé) | Non mappé à l'objet IDM. |
| kv.ServiceSelectionMatchedRule | (non mappé) | Non mappé à l'objet IDM. |
| kv.State | (non mappé) | Non mappé à l'objet IDM. |
| kv.Step | (non mappé) | Non mappé à l'objet IDM. |
| kv.Tunnel-Medium-Type | (non mappé) | Non mappé à l'objet IDM. |
| kv.Tunnel-Private-Group-ID | (non mappé) | Non mappé à l'objet IDM. |
| kv.Tunnel-Type | (non mappé) | Non mappé à l'objet IDM. |
| kv.UseCase | (non mappé) | Non mappé à l'objet IDM. |
| kv.UserIdentityGroup | (non mappé) | Non mappé à l'objet IDM. |
| kv.VendorSpecific | (non mappé) | Non mappé à l'objet IDM. |
| kv.attribute-131 | (non mappé) | Non mappé à l'objet IDM. |
| kv.attribute-89 | (non mappé) | Non mappé à l'objet IDM. |
| kv.cisco-av-pair | (non mappé) | Non mappé à l'objet IDM. |
| kv.cisco-av-pair:CiscoSecure-Group-Id | (non mappé) | Non mappé à l'objet IDM. |
| leef_version | (non mappé) | Non mappé à l'objet IDM. |
| log_header | metadata.description | La valeur est extraite du champ "log_header". |
| log_id | metadata.product_log_id | La valeur est extraite du champ "log_id". |
| log_type | metadata.product_event_type | La valeur est extraite du champ "log_type". |
| message_severity | (non mappé) | Non mappé à l'objet IDM. |
| produit | metadata.product_name | La valeur est extraite du champ du produit. |
| product_version | metadata.product_version | La valeur est extraite du champ "product_version". |
| server_host | target.hostname | La valeur est extraite du champ "server_host". |
| timestamp | metadata.event_timestamp | La valeur est extraite des champs "timestamp" et "timezone" (après suppression du deux-points). La valeur combinée est analysée en tant que code temporel. |
| url | network.dns.questions[].name | La valeur est extraite du champ "URL". |
| vendor | metadata.vendor_name | La valeur est extraite du champ "Fournisseur". Défini sur "GENERIC_EVENT" au départ, puis potentiellement remplacé en fonction de log_type et des champs analysés. Valeurs possibles : "USER_LOGIN", "USER_UNCATEGORIZED", "NETWORK_DNS", "NETWORK_CONNECTION", "STATUS_UPDATE" ou "STATUS_UNCATEGORIZED". Initialement défini sur "Cisco", puis potentiellement remplacé par le champ "Fournisseur". Définie sur "ACS" au départ, puis potentiellement remplacée par le champ du produit. Défini sur "CISCO_ACS". Défini sur "USERNAME_PASSWORD". Définissez-le sur "TACACS". Définissez la valeur sur "UDP" pour les événements de diagnostic et de comptabilité RADIUS. Définissez sa valeur sur "DNS" pour les événements DNS. Dérivé du champ "security_action", qui est défini selon que la connexion a réussi ou non. Définissez la valeur sur "Connexion réussie" pour les connexions réussies et sur "Échec de la connexion" pour les connexions ayant échoué. Peut également être défini sur "passed" (réussi) pour certains événements de diagnostic du magasin d'identité. Définissez-la sur "LOW" pour les tentatives de connexion ayant échoué. Construit en ajoutant "ASSET ID: " au champ device-uid. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.