Collecter les journaux Cisco APIC

Ce document explique comment ingérer des journaux Cisco APIC dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux au format syslog. Il utilise grok et/ou kv pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
• Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
• Accès privilégié à la console de gestion Cisco APIC

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.
3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec les droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Ressources d'installation supplémentaires

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez au fichier de configuration :

   1. Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Specify the log type that matches your Chronicle feed configuration
       # Commonly used: CISCO_ACI or CISCO_APIC depending on your setup
       log_type: 'CISCO_APIC'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
   • Remplacez <customer_id> par le numéro client réel.
   • Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
   • Assurez-vous que la valeur log_type correspond au type de journal sélectionné dans la configuration de votre flux Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer le transfert Syslog sur Cisco APIC

Configurer les contrats de gestion

1. Connectez-vous à la console Cisco APIC.
2. Accédez à Tenants > mgmt > Security Policies (Locataires > Gestion > Règles de sécurité).
3. Vérifiez que les contrats de gestion autorisent le protocole UDP sur le port 514 :
   • Pour la gestion hors bande : assurez-vous que le contrat OOB autorise le port 514.UDP
   • Pour la gestion In-Band : assurez-vous que le contrat INB autorise le port 514.UDP
4. Si nécessaire, créez ou modifiez des filtres pour autoriser le port 514 pour l'EPG de gestion sélectionné.UDP

Créer un groupe de destinations de surveillance Syslog

1. Accédez à Administration > Collecteurs de données externes > Destinations de surveillance > Syslog.
2. Cliquez sur le signe + pour créer un groupe de destinations de surveillance Syslog.
3. Fournissez les informations de configuration suivantes :
   • Nom : saisissez un nom descriptif (par exemple, Google SecOps Syslog).
   • Description : saisissez une description (par exemple, Syslog destination for Google SecOps).
   • État de l'administrateur : sélectionnez Activé.
   • Format : sélectionnez aci (recommandé) ou nxos.
4. Cliquez sur Suivant.
5. Dans la section Créer une destination Syslog distante, fournissez les informations de configuration suivantes :
   • Nom d'hôte/Adresse IP : saisissez l'adresse IP de l'agent BindPlane.
   • Nom : saisissez un nom descriptif pour la destination.
   • État de l'administrateur : sélectionnez Activé.
   • Gravité : sélectionnez Information (ou le niveau de gravité de votre choix).
   • Port : saisissez 514 (ou le port configuré sur l'agent BindPlane).
   • EPG de gestion : sélectionnez l'EPG de gestion approprié :
     • default (Out-of-Band) pour la gestion OOB
     • inb-default pour la gestion In-Band
   • Plate-forme de transfert : sélectionnez local7 (ou la plate-forme de votre choix).
6. Cliquez sur OK.
7. Vérifiez la configuration, puis cliquez sur Terminer.

Configurer la source syslog de la règle de tissu

1. Accédez à Fabric > Fabric Policies > Monitoring Policies (Structure > Règles de structure > Règles de surveillance).
2. Développez default, puis sélectionnez Callhome/SNMP/Syslog.
3. Cliquez sur le signe + pour créer une source Syslog.
4. Fournissez les informations de configuration suivantes :
   • Nom de la source : saisissez un nom (par exemple, fabric-syslog-source).
   • Gravité min. : sélectionnez Informations.
   • Inclure : sélectionnez Tout cocher pour inclure les journaux d'audit, les événements, les erreurs et les journaux de session.
   • Groupe de destinations : sélectionnez le groupe de destinations de surveillance syslog créé précédemment.
5. Cliquez sur Envoyer.

Configurer la source syslog de la stratégie commune

1. Accédez à Fabric > Fabric Policies > Monitoring Policies (Structure > Règles de structure > Règles de surveillance).
2. Développez common, puis sélectionnez Callhome/SNMP/Syslog.
3. Cliquez sur + pour créer une source Syslog.
4. Fournissez les informations de configuration suivantes :
   • Nom de la source : saisissez un nom (par exemple, common-syslog-source).
   • Gravité min. : sélectionnez Informations.
   • Inclure : sélectionnez Tout cocher pour inclure les journaux d'audit, les événements, les erreurs et les journaux de session.
   • Groupe de destinations : sélectionnez le groupe de destinations de surveillance syslog créé précédemment.
5. Cliquez sur Envoyer.

Configurer la source syslog de la règle d'accès

1. Accédez à Fabric > Règles d'accès > Règles de surveillance.
2. Développez default, puis sélectionnez Callhome/SNMP/Syslog.
3. Cliquez sur le signe + pour créer une source Syslog.
4. Fournissez les informations de configuration suivantes :
   • Nom de la source : saisissez un nom (par exemple, access-syslog-source).
   • Gravité min. : sélectionnez Informations.
   • Inclure : sélectionnez Tout cocher pour inclure les journaux d'audit, les événements, les erreurs et les journaux de session.
   • Groupe de destinations : sélectionnez le groupe de destinations de surveillance syslog créé précédemment.
5. Cliquez sur Envoyer.

Configurer le règlement relatif aux messages système (facultatif)

1. Accédez à Fabric > Fabric Policies > Monitoring Policies (Structure > Règles de structure > Règles de surveillance).
2. Développez common > System Message Policies.
3. Sélectionnez Règles pour les messages Syslog système.
4. Sélectionnez l'établissement par défaut.
5. Définissez la gravité sur information.
6. Cliquez sur Mettre à jour.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.