Esta página se ha traducido con Cloud Translation API.

Recoger registros de la plataforma Cisco DNA Center

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de la plataforma Cisco DNA Center en Google Security Operations mediante dos enfoques diferentes. Elige la opción que mejor se adapte a tu entorno y a tus requisitos. El analizador transforma los registros SYSLOG+JSON de Cisco DNA Center en un modelo de datos unificado (UDM). Extrae campos del mensaje de registro sin procesar y de la carga útil JSON, los asigna a los atributos de UDM correspondientes y enriquece los datos con etiquetas y contexto de seguridad en función de las características del evento, como la gravedad y las entidades implicadas.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso con privilegios a la consola de gestión de la plataforma Cisco DNA Center
Elige el método de integración que prefieras:
- En la opción 2: conectividad de red entre Cisco DNA Center y el endpoint del webhook de Google SecOps
- Para la opción 1: Windows 2016 o versiones posteriores, o un host Linux con systemd para la instalación del agente de Bindplane

Opción 1: Integración de Syslog mediante el agente de Bindplane

Esta opción usa el reenvío de syslog de Cisco DNA Center a Bindplane, que a su vez reenvía los registros estructurados a Google SecOps.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: 'CISCO_DNAC'
    raw_log_field: body

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <YOUR_CUSTOMER_ID> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.
Esta configuración usa el receptor Syslog (UDP) del agente de Bindplane para recoger mensajes Syslog estructurados de DNA Center.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar el reenvío de Syslog en la plataforma Cisco DNA Center

Inicia sesión en la plataforma Cisco DNA Center.
Ve a Sistema > Ajustes > Servicios externos > Destinos > Syslog.
Haga clic en + Añadir para crear un destino syslog.
Proporcione los siguientes detalles de configuración:
- Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps BindPlane).
- Host: introduce la dirección IP del agente de BindPlane.
- Puerto: introduce 514 (o el puerto configurado en BindPlane).
- Protocolo: selecciona UDP o TCP en función de tu configuración de BindPlane.
- Instalación: selecciona la instalación adecuada (por ejemplo, Local0).
- Gravedad: selecciona Información para registrar todos los niveles de eventos.
Haz clic en Guardar.

Opción 2: Integración de webhook en tiempo real

Esta opción usa las funciones de webhook nativas de Cisco DNA Center para enviar eventos JSON estructurados directamente a Google SecOps en tiempo real.

Información general

Cisco DNA Center admite de forma nativa las notificaciones de webhook para la entrega de eventos en tiempo real. Esta opción proporciona cargas útiles JSON estructuradas con un contexto de evento enriquecido, que envía eventos directamente a Google SecOps sin necesidad de usar Bindplane como intermediario.

Configurar el feed de webhook de Google SecOps

En Google SecOps, ve a Configuración de SIEM > Feeds.
Haz clic en + Añadir nuevo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Cisco DNA Center Webhook).
Selecciona Webhook como Tipo de fuente.
Selecciona Plataforma Cisco DNA Center como Tipo de registro.
Haz clic en Siguiente.
Especifique los valores de los siguientes parámetros de entrada:
- Delimitador de división: \n (opcional).
- Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración del feed y haga clic en Enviar.
Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
Copia y guarda la clave secreta, ya que no podrás volver a verla.
Ve a la pestaña Detalles.
Copia la URL del endpoint del feed del campo Endpoint Information (Información del endpoint).
Haz clic en Listo.

Crear una clave de API para la feed de webhook

Ve a la página Credenciales de la consola de Google Cloud.
Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.
Restringe el acceso de la clave de API a la API Google SecOps.

Configurar el destino del webhook en Cisco DNA Center

Inicia sesión en la plataforma Cisco DNA Center.
Ve a Sistema > Ajustes > Servicios externos > Destinos > Webhook.
Haga clic en + Añadir para crear un nuevo destino de webhook.
Proporcione los siguientes detalles de configuración:
- Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps Webhook).
- Descripción: escriba una descripción del webhook.
- URL: introduce la URL del endpoint del webhook de Google SecOps del paso anterior.
- Método: selecciona POST.
- Certificado de confianza: seleccione No si usa certificados autofirmados.
- Encabezados: añade los encabezados obligatorios:
  - Content-Type: application/json
  - X-goog-api-key tu clave de API Google Cloud
  - X-Webhook-Access-Key tu clave secreta del feed de Google SecOps
Haz clic en Probar conexión para verificar la conectividad.
Haz clic en Guardar.

Suscribir eventos a notificaciones de webhook

En Cisco DNA Center, vaya a Plataforma > Kit de herramientas para desarrolladores > Notificaciones de eventos.
Haz clic en + Suscribirme.
Proporcione los siguientes detalles de configuración:
- Nombre de la suscripción: introduce un nombre descriptivo (por ejemplo, Google SecOps Events).
- Connector Type (Tipo de conector): selecciona REST Endpoint (Endpoint REST).
- Destino: selecciona el destino del webhook que has creado en el paso anterior.
Selecciona los tipos de eventos que quieras monitorizar:
- Eventos de red: dispositivo no accesible, interfaz inactiva, cambios en la configuración.
- Eventos de seguridad: infracciones de la política de seguridad y fallos de autenticación.
- Eventos del sistema: eventos de la plataforma, actualizaciones de software y mantenimiento.
- Eventos de asistencia: degradación del rendimiento y problemas de conectividad.
Configura los filtros de eventos si es necesario:
- Gravedad: selecciona el nivel de gravedad mínimo (por ejemplo, P1 o P2).
- Dominio: filtra por dominios específicos (por ejemplo, Conectividad o Rendimiento).
Haz clic en Suscribirme.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
category	security_result.severity_details	Se asigna directamente desde el campo `category` del registro sin procesar.
ciscoDnaEventLink	target.url	Se asigna directamente desde el campo `ciscoDnaEventLink` del registro sin procesar.
date_time	metadata.event_timestamp	Se extrae del mensaje de registro sin procesar mediante un patrón grok y se convierte al formato de marca de tiempo.
details.Assurance_Issue_Category	security_result.about.resource.attribute.labels[].value	Se asigna directamente desde el campo `details.Assurance_Issue_Category` del registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Category".
details.Assurance_Issue_Details	security_result.summary	Se asigna directamente desde el campo `details.Assurance_Issue_Details` del registro sin procesar.
details.Assurance_Issue_Name	security_result.about.resource.attribute.labels[].value	Se asigna directamente desde el campo `details.Assurance_Issue_Name` del registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Name".
details.Assurance_Issue_Priority	security_result.about.resource.attribute.labels[].value	Se asigna directamente desde el campo `details.Assurance_Issue_Priority` del registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Priority".
details.Assurance_Issue_Status	security_result.about.resource.attribute.labels[].value	Se asigna directamente desde el campo `details.Assurance_Issue_Status` del registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Status".
details.Device	target.ip OR target.hostname	Se asigna desde el campo `details.Device` del registro sin procesar. Si el valor es una dirección IP, se asigna a `target.ip`. De lo contrario, se asigna a `target.hostname`.
dnacIp	target.ip	Se asigna directamente desde el campo `dnacIp` del registro sin procesar, si es una dirección IP.
dominio	additional.fields[].value.string_value	Se asigna directamente desde el campo `domain` del registro sin procesar. La clave de este campo es "domain".
eventId	metadata.product_event_type	Se asigna directamente desde el campo `eventId` del registro sin procesar.
instanceId	target.resource.product_object_id	Se asigna directamente desde el campo `instanceId` del registro sin procesar.
name	target.resource.attribute.labels[].value	Se asigna directamente desde el campo `name` del registro sin procesar. La clave de esta etiqueta es "name".
espacio de nombres	target.namespace	Se asigna directamente desde el campo `namespace` del registro sin procesar.
network.deviceId	target.asset.asset_id	Se asigna directamente desde el campo `network.deviceId` del registro sin procesar y se le añade el prefijo "deviceId: ".
note	additional.fields[].value.string_value	Se asigna directamente desde el campo `note` del registro sin procesar. La clave de este campo es "note".
	metadata.event_type	Se determina en función de la presencia y los valores de los campos `has_principal`, `has_target` y `userId`. Valores posibles: NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE y GENERIC_EVENT.
	is_alert	Devuelve el valor "verdadero" si la gravedad es 0 o 1; de lo contrario, devuelve "falso".
	is_significant	Devuelve el valor "verdadero" si la gravedad es 0 o 1; de lo contrario, devuelve "falso".
gravedad		Se usa para determinar el valor de `security_result.severity`, `is_alert` y `is_significant`.
fuente	target.resource.attribute.labels[].value	Se asigna directamente desde el campo `source` del registro sin procesar. La clave de esta etiqueta es "source".
src_ip	principal.ip	Se extrae del mensaje de registro sin procesar mediante un patrón grok.
subDomain	additional.fields[].value.string_value	Se asigna directamente desde el campo `subDomain` del registro sin procesar. La clave de este campo es "subDomain".
tntId	target.resource.attribute.labels[].value	Se asigna directamente desde el campo `tntId` del registro sin procesar. La clave de esta etiqueta es "tntId".
tipo	target.resource.attribute.labels[].value	Se asigna directamente desde el campo `type` del registro sin procesar. La clave de esta etiqueta es "type".
userId	target.user.userid	Se asigna directamente desde el campo `userId` del registro sin procesar.
version	metadata.product_version	Se asigna directamente desde el campo `version` del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.