Recopila registros de la plataforma de Cisco DNA Center
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de la plataforma de Cisco DNA Center a Google Security Operations con dos enfoques diferentes. Elige la opción que mejor se adapte a tu entorno y tus requisitos. El analizador transforma los registros de Cisco DNA Center SYSLOG+JSON en un modelo de datos unificado (UDM). Extrae campos del mensaje de registro sin procesar y de la carga útil JSON, los asigna a los atributos de UDM correspondientes y enriquece los datos con etiquetas y contexto de seguridad según las características del evento, como la gravedad y las entidades involucradas.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Acceso privilegiado a la consola de administración de la plataforma de Cisco DNA Center
- Elige tu método de integración preferido:
- Para la opción 2: Conectividad de red entre el extremo del webhook de Cisco DNA Center y Google SecOps
- Para la opción 1: Windows 2016 o versiones posteriores, o un host de Linux con
systemdpara la instalación del agente de Bindplane
Opción 1: Integración de Syslog con el agente de BindPlane
Esta opción usa el reenvío de syslog de Cisco DNA Center a Bindplane, que luego reenvía registros estructurados a Google SecOps.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: YOUR_CUSTOMER_ID endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_DNAC' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
- Reemplaza
<YOUR_CUSTOMER_ID>por el ID de cliente real. - Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps. - Esta configuración usa el receptor Syslog (UDP) del agente de BindPlane para recopilar mensajes syslog estructurados de DNA Center.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura el reenvío de Syslog en la plataforma de Cisco DNA Center
- Accede a la plataforma de Cisco DNA Center.
- Ve a Sistema > Configuración > Servicios externos > Destinos > Syslog.
- Haz clic en + Agregar para crear un nuevo destino de syslog.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps BindPlane). - Host: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa
514(o el puerto configurado en BindPlane). - Protocolo: Selecciona UDP o TCP según tu configuración de BindPlane.
- Facility: Selecciona la instalación adecuada (por ejemplo, Local0).
- Gravedad: Selecciona Información para capturar todos los niveles de eventos.
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
- Haz clic en Guardar.
Opción 2: Integración de webhook en tiempo real
Esta opción usa las capacidades nativas de webhook de Cisco DNA Center para entregar eventos JSON estructurados directamente a Google SecOps en tiempo real.
Descripción general
Cisco DNA Center admite de forma nativa las notificaciones de webhook para la entrega de eventos en tiempo real. Esta opción proporciona cargas útiles JSON estructuradas con un contexto de eventos enriquecido, y entrega eventos directamente a Google SecOps sin necesidad de Bindplane como intermediario.
Configura el feed del webhook de Google SecOps
- En Google SecOps, ve a Configuración de SIEM > Feeds.
- Haz clic en + Agregar feed nuevo.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Cisco DNA Center Webhook). - Selecciona Webhook como el Tipo de origen.
- Selecciona Cisco DNA Center Platform como el Tipo de registro.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división:
\nopcional. - Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
- Delimitador de división:
- Haz clic en Siguiente.
- Revisa la configuración del feed y haz clic en Enviar.
- Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
- Copia y guarda la clave secreta, ya que no podrás volver a verla.
- Ve a la pestaña Detalles.
- Copia la URL del extremo del feed desde el campo Información del extremo.
- Haz clic en Listo.
Crea una clave de API para el feed del webhook
- Ve a la página Credenciales de la consola de Google Cloud.
- Haz clic en Crear credenciales y, luego, selecciona Clave de API.
- Restringe el acceso de la clave de API a la API de Google SecOps.
Configura el destino del webhook en Cisco DNA Center
- Accede a la plataforma de Cisco DNA Center.
- Ve a Sistema > Configuración > Servicios externos > Destinos > Webhook.
- Haz clic en + Agregar para crear un nuevo destino de webhook.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps Webhook). - Descripción: Ingresa una descripción para el webhook.
- URL: Ingresa la URL del extremo de webhook de Google SecOps del paso anterior.
- Método: Selecciona POST.
- Trust Certificate: Selecciona No si usas certificados autofirmados.
- Encabezados: Agrega los encabezados obligatorios:
- Content-Type:
application/json - X-goog-api-key: Tu clave de Google Cloud API
- X-Webhook-Access-Key: Tu clave secreta del feed de Google SecOps
- Content-Type:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
- Haz clic en Probar conexión para verificar la conectividad.
- Haz clic en Guardar.
Suscribe eventos a las notificaciones de webhook
- En Cisco DNA Center, ve a Platform > Developer Toolkit > Event Notifications.
- Haz clic en + Suscribirse.
- Proporciona los siguientes detalles de configuración:
- Nombre de la suscripción: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps Events). - Tipo de conector: Selecciona Extremo de REST.
- Destino: Selecciona el destino del webhook que creaste en el paso anterior.
- Nombre de la suscripción: Ingresa un nombre descriptivo (por ejemplo,
- Selecciona los tipos de eventos que deseas supervisar:
- Eventos de red: Dispositivo inaccesible, interfaz inactiva, cambios de configuración
- Eventos de seguridad: Incumplimientos de políticas de seguridad, fallas de autenticación
- Eventos del sistema: Eventos de la plataforma, actualizaciones de software y mantenimiento.
- Eventos de garantía: Degradación del rendimiento, problemas de conectividad
- Si es necesario, configura filtros de eventos:
- Gravedad: Selecciona el nivel de gravedad mínimo (por ejemplo, P1 o P2).
- Dominio: Filtra por dominios específicos (por ejemplo, Conectividad, Rendimiento).
- Haz clic en Suscribirse.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| category | security_result.severity_details | Se asigna directamente desde el campo category en el registro sin procesar. |
| ciscoDnaEventLink | target.url | Se asigna directamente desde el campo ciscoDnaEventLink en el registro sin procesar. |
| date_time | metadata.event_timestamp | Se extrae del mensaje de registro sin procesar con el patrón de Grok y se convierte al formato de marca de tiempo. |
| details.Assurance_Issue_Category | security_result.about.resource.attribute.labels[].value | Se asigna directamente desde el campo details.Assurance_Issue_Category en el registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Category". |
| details.Assurance_Issue_Details | security_result.summary | Se asigna directamente desde el campo details.Assurance_Issue_Details en el registro sin procesar. |
| details.Assurance_Issue_Name | security_result.about.resource.attribute.labels[].value | Se asigna directamente desde el campo details.Assurance_Issue_Name en el registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Name". |
| details.Assurance_Issue_Priority | security_result.about.resource.attribute.labels[].value | Se asigna directamente desde el campo details.Assurance_Issue_Priority en el registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Priority". |
| details.Assurance_Issue_Status | security_result.about.resource.attribute.labels[].value | Se asigna directamente desde el campo details.Assurance_Issue_Status en el registro sin procesar. La clave de esta etiqueta es "Assurance_Issue_Status". |
| details.Device | target.ip O target.hostname | Se asigna desde el campo details.Device en el registro sin procesar. Si el valor es una dirección IP, se asigna a target.ip; de lo contrario, se asigna a target.hostname. |
| dnacIp | target.ip | Se asigna directamente desde el campo dnacIp en el registro sin procesar, si es una dirección IP. |
| dominio | additional.fields[].value.string_value | Se asigna directamente desde el campo domain en el registro sin procesar. La clave de este campo es "domain". |
| eventId | metadata.product_event_type | Se asigna directamente desde el campo eventId en el registro sin procesar. |
| instanceId | target.resource.product_object_id | Se asigna directamente desde el campo instanceId en el registro sin procesar. |
| nombre | target.resource.attribute.labels[].value | Se asigna directamente desde el campo name en el registro sin procesar. La clave de esta etiqueta es "name". |
| espacio de nombres | target.namespace | Se asigna directamente desde el campo namespace en el registro sin procesar. |
| network.deviceId | target.asset.asset_id | Se asigna directamente desde el campo network.deviceId en el registro sin procesar y tiene el prefijo "deviceId: ". |
| nota | additional.fields[].value.string_value | Se asigna directamente desde el campo note en el registro sin procesar. La clave de este campo es "note". |
| metadata.event_type | Se determina en función de la presencia y los valores de los campos has_principal, has_target y userId. Los valores posibles son NETWORK_CONNECTION, USER_UNCATEGORIZED, STATUS_UPDATE y GENERIC_EVENT. |
|
| is_alert | Es verdadero si la gravedad es 0 o 1; de lo contrario, es falso. | |
| is_significant | Es verdadero si la gravedad es 0 o 1; de lo contrario, es falso. | |
| gravedad, | Se usa para determinar el valor de security_result.severity, is_alert y is_significant. |
|
| source | target.resource.attribute.labels[].value | Se asigna directamente desde el campo source en el registro sin procesar. La clave de esta etiqueta es "source". |
| src_ip | principal.ip | Se extrae del mensaje de registro sin procesar con el patrón de Grok. |
| subDomain | additional.fields[].value.string_value | Se asigna directamente desde el campo subDomain en el registro sin procesar. La clave de este campo es "subDomain". |
| tntId | target.resource.attribute.labels[].value | Se asigna directamente desde el campo tntId en el registro sin procesar. La clave de esta etiqueta es "tntId". |
| tipo | target.resource.attribute.labels[].value | Se asigna directamente desde el campo type en el registro sin procesar. La clave de esta etiqueta es "type". |
| userid | target.user.userid | Se asigna directamente desde el campo userId en el registro sin procesar. |
| version | metadata.product_version | Se asigna directamente desde el campo version en el registro sin procesar. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.