Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Cisco eStreamer

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Cisco eStreamer a Google Security Operations con Bindplane. El analizador extrae campos de los mensajes de SYSLOG en formato de clave-valor, utilizando grok para analizar el mensaje inicial y kv para controlar los datos de clave-valor. Luego, asigna estos campos extraídos al Modelo de datos unificado (UDM), controla varios tipos de datos y enriquece el evento con metadatos, como el tipo de evento, según la presencia de información principal y de destino.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows Server 2012 SP2 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado a Cisco Firepower Management Center (FMC)
Un sistema Linux para ejecutar el cliente de la CLI de eNcore

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /opt/observiq-otel-collector/ en Linux o en el directorio "C:\Program Files\observIQ OpenTelemetry Collector" en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CISCO_ESTREAMER'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de Syslog en Cisco eStreamer

Configura eStreamer en Firepower Management Center

Accede a Firepower Management Center.
Ve a Sistema > Integración > eStreamer.
Haz clic en eStreamer para acceder a la configuración de eventos de eStreamer.
Selecciona las casillas de verificación junto a los tipos de eventos que deseas registrar:
- Intrusion Events: Para eventos de detección de intrusiones
- Intrusion Event Packet Data: Para capturas de paquetes asociadas con eventos de intrusión
- Eventos de conexión: Para datos de conexión de red
- Eventos de inteligencia de seguridad: Para datos de inteligencia sobre amenazas
- File Events: Para eventos de análisis de archivos
- Malware Events: Para eventos de detección de software malicioso
Haz clic en Guardar.

Crea un cliente de eStreamer

En la página eStreamer, haz clic en Create Client.
Proporciona los siguientes detalles de configuración:
- Nombre de host: Ingresa la dirección IP del sistema Linux en el que se ejecutará el cliente de eNcore.
- Contraseña: Ingresa una contraseña para encriptar el archivo de certificado.
Haz clic en Guardar.
Descarga el archivo de certificado PKCS12 generado y transfiérelo a tu sistema cliente de eNcore.

Instala y configura el cliente de la CLI de eNcore

En tu sistema Linux, descarga el cliente de la CLI de eStreamer eNcore de Cisco.

Extrae el paquete de eNcore:

tar -xzf eStreamer-eNcore-*.tar.gz
cd eStreamer-eNcore-*

Ejecuta la secuencia de comandos de configuración:
```
./encore.sh setup
```
Cuando se te solicite, elige el formato de salida para los pares clave-valor (compatible con los sistemas SIEM).
Ingresa la dirección IP del FMC y la contraseña del certificado PKCS12.

Configura el archivo estreamer.conf para que genere mensajes de syslog en tu agente de BindPlane:

Abre el archivo estreamer.conf en un editor de texto.

Busca la sección de salida y configúrala para enviar syslog a tu agente de BindPlane:

{
  "handler": {
    "outputters": [
      {
        "name": "syslog",
        "adapter": "kvpair",
        "enabled": true,
        "stream": {
          "uri": "udp://BINDPLANE_AGENT_IP:514"
        }
      }
    ]
  }
}

Reemplaza BINDPLANE_AGENT_IP por la dirección IP de tu agente de Bindplane.

Cómo iniciar el cliente de eNcore

Prueba la conexión en modo de primer plano:
```
./encore.sh foreground
```
Una vez que se verifique, inicia eNcore como un servicio en segundo plano:
```
./encore.sh start
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`act`	`security_result.action_details`	El valor de `act` del registro sin procesar se asigna a este campo.
`act`	`security_result.action`	Si el valor de `act` es "Allow" (sin distinción entre mayúsculas y minúsculas), se asigna el valor "ALLOW" a este campo.
`app`	`network.http.user_agent`	El valor de `app` (cambiado a `requestClientApplication` en el analizador) del registro sin procesar se asigna a este campo.
`blockLength`	`security_result.detection_fields[].key`	La cadena "blocklength" se asigna a este campo.
`blockLength`	`security_result.detection_fields[].value`	El valor de `blockLength` del registro sin procesar, convertido en una cadena, se asigna a este campo.
`blockType`	`security_result.detection_fields[].key`	La cadena "blockType" se asigna a este campo.
`blockType`	`security_result.detection_fields[].value`	El valor de `blockType` del registro sin procesar, convertido en una cadena, se asigna a este campo.
`bytesIn`	`network.received_bytes`	El valor de `bytesIn` del registro sin procesar se asigna a este campo y se convierte en un número entero sin signo.
`bytesOut`	`network.sent_bytes`	El valor de `bytesOut` del registro sin procesar se asigna a este campo y se convierte en un número entero sin signo.
`cat`	`security_result.category_details`	El valor de `cat` del registro sin procesar se asigna a este campo.
`cs1`	`security_result.detection_fields[].value`	El valor de `cs1` del registro sin procesar se asigna a este campo.
`cs1Label`	`security_result.detection_fields[].key`	El valor de `cs1Label` del registro sin procesar se asigna a este campo.
`cs2`	`security_result.detection_fields[].value`	El valor de `cs2` del registro sin procesar se asigna a este campo.
`cs2Label`	`security_result.detection_fields[].key`	El valor de `cs2Label` del registro sin procesar se asigna a este campo.
`cs3`	`security_result.detection_fields[].value`	El valor de `cs3` del registro sin procesar se asigna a este campo.
`cs3Label`	`security_result.detection_fields[].key`	El valor de `cs3Label` del registro sin procesar se asigna a este campo.
`cs4`	`security_result.detection_fields[].value`	El valor de `cs4` del registro sin procesar se asigna a este campo.
`cs4Label`	`security_result.detection_fields[].key`	El valor de `cs4Label` del registro sin procesar se asigna a este campo.
`cs5`	`security_result.detection_fields[].value`	El valor de `cs5` del registro sin procesar se asigna a este campo.
`cs5Label`	`security_result.detection_fields[].key`	El valor de `cs5Label` del registro sin procesar se asigna a este campo.
`cs6`	`security_result.detection_fields[].value`	El valor de `cs6` del registro sin procesar se asigna a este campo.
`cs6`	`security_result.rule_id`	El valor de `cs6` del registro sin procesar se asigna a este campo.
`cs6Label`	`security_result.detection_fields[].key`	El valor de `cs6Label` del registro sin procesar se asigna a este campo.
`data`	`security_result.detection_fields[].value`	El valor de `data` del objeto JSON `suser` en el registro sin procesar se asigna a este campo si el campo `suser` es un JSON.
`deviceInboundInterface`	`additional.fields[].key`	La cadena "deviceInboundInterface" se asigna a este campo.
`deviceInboundInterface`	`additional.fields[].value.string_value`	El valor de `deviceInboundInterface` del registro sin procesar se asigna a este campo.
`deviceOutboundInterface`	`additional.fields[].key`	La cadena "deviceOutboundInterface" se asigna a este campo.
`deviceOutboundInterface`	`additional.fields[].value.string_value`	El valor de `deviceOutboundInterface` del registro sin procesar se asigna a este campo.
`dpt`	`target.port`	El valor de `dpt` del registro sin procesar se asigna a este campo y se convierte en un número entero.
`dst`	`target.asset.ip`	El valor de `dst` del registro sin procesar se asigna a este campo.
`dst`	`target.ip`	El valor de `dst` del registro sin procesar se asigna a este campo.
`dvcpid`	`security_result.about.process.pid`	El valor de `dvcpid` del registro sin procesar se asigna a este campo.
`dvchost`	`target.asset.hostname`	El valor de `dvchost` del registro sin procesar se asigna a este campo.
`dvchost`	`target.hostname`	El valor de `dvchost` del registro sin procesar se asigna a este campo.
`hostname`	`principal.asset.hostname`	El valor de `hostname` del registro sin procesar se asigna a este campo.
`hostname`	`principal.hostname`	El valor de `hostname` del registro sin procesar se asigna a este campo. Se determina según la lógica del analizador en función de la presencia de información de `principal` y `target`. Si ambos están presentes, el valor es "NETWORK_CONNECTION". Si solo está presente `principal`, el valor es "STATUS_UPDATE". Si solo está presente `target`, el valor es "USER_UNCATEGORIZED". De lo contrario, el valor es "GENERIC_EVENT".
`product_event_type`	`metadata.product_event_type`	El valor de `product_event_type` del registro sin procesar se asigna a este campo.
`product_name`	`metadata.product_name`	El valor de `product_name` del registro sin procesar se asigna a este campo.
`proto`	`network.ip_protocol`	El valor de `proto` del registro sin procesar se convierte en un número entero y, luego, se asigna al nombre del protocolo IP correspondiente (p.ej., 6 se convierte en TCP y 17 se convierte en UDP) con una búsqueda incluida en "parse_ip_protocol.include".
`severity`	`security_result.severity_details`	El valor de `severity` del registro sin procesar se asigna a este campo.
`spt`	`principal.port`	El valor de `spt` del registro sin procesar se asigna a este campo y se convierte en un número entero.
`src`	`principal.asset.ip`	El valor de `src` del registro sin procesar se asigna a este campo.
`src`	`principal.ip`	El valor de `src` del registro sin procesar se asigna a este campo.
`suser`	`security_result.detection_fields[].value`	El valor de `suser` del registro sin procesar se asigna a este campo si no es un objeto JSON. Si es un JSON, se usa el campo `data` del objeto `suser`.
`suser`	`security_result.detection_fields[].key`	La cadena "suser" se asigna a este campo.
`ts`	`metadata.event_timestamp`	El valor de `ts` del registro sin procesar se analiza como una marca de tiempo y se asigna a este campo. Se intentan varios formatos de marcas de tiempo hasta que se logra un análisis correcto.
`vendor_name`	`metadata.vendor_name`	El valor de `vendor_name` del registro sin procesar se asigna a este campo.
`version`	`metadata.product_version`	El valor de `version` del registro sin procesar se asigna a este campo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.