Recolha registos do Cisco eStreamer

Este documento explica como carregar registos do Cisco eStreamer para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens SYSLOG no formato de chave-valor, usando o grok para analisar a mensagem inicial e o kv para processar os dados de chave-valor. Em seguida, mapeia estes campos extraídos para o modelo de dados unificado (UDM), processando vários tipos de dados e enriquecendo o evento com metadados, como o tipo de evento, com base na presença de informações principais e de destino.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Um Windows Server 2012 SP2 ou posterior, ou um anfitrião Linux com systemd
• Se estiver a executar o agente através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
• Acesso privilegiado ao Cisco Firepower Management Center (FMC)
• Um sistema Linux para executar o cliente da CLI eNcore

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /opt/observiq-otel-collector/ no Linux ou no diretório `C:\Program Files\observIQ OpenTelemetry Collector` no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: YOUR_CUSTOMER_ID
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'CISCO_ESTREAMER'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o encaminhamento de Syslog no Cisco eStreamer

Configure o eStreamer no Firepower Management Center

1. Inicie sessão no Firepower Management Center.
2. Aceda a Sistema > Integração > eStreamer.
3. Clique em eStreamer para aceder à configuração de eventos do eStreamer.
4. Selecione as caixas de verificação junto aos tipos de eventos que quer captar:
   • Eventos de intrusão: para eventos de deteção de intrusão
   • Dados de pacotes de eventos de intrusão: para capturas de pacotes associadas a eventos de intrusão
   • Eventos de ligação: para dados de ligação de rede
   • Eventos de inteligência de segurança: para dados de inteligência de ameaças
   • Eventos de ficheiros: para eventos de análise de ficheiros
   • Eventos de software malicioso: para eventos de deteção de software malicioso
5. Clique em Guardar.

Crie um cliente do eStreamer

1. Na página eStreamer, clique em Criar cliente.
2. Indique os seguintes detalhes de configuração:
   • Nome do anfitrião: introduza o endereço IP do sistema Linux onde o cliente eNcore vai ser executado.
   • Palavra-passe: introduza uma palavra-passe para encriptar o ficheiro de certificado.
3. Clique em Guardar.
4. Transfira o ficheiro de certificado PKCS12 gerado e transfira-o para o sistema cliente eNcore.

Instale e configure o cliente da CLI eNcore

1. No seu sistema Linux, transfira o cliente da CLI eStreamer eNcore da Cisco.

2. Extraia o pacote eNcore:

   tar -xzf eStreamer-eNcore-*.tar.gz
   cd eStreamer-eNcore-*
   

3. Execute o script de configuração:

   ./encore.sh setup
   

4. Quando lhe for pedido, escolha o formato de saída para pares de chave-valor (compatível com sistemas SIEM).

5. Introduza o endereço IP do FMC e a palavra-passe do certificado PKCS12.

6. Configure o ficheiro estreamer.conf para enviar mensagens syslog para o seu agente do Bindplane:

   • Abra o ficheiro estreamer.conf num editor de texto.

   • Localize a secção de saída e configure-a para enviar o syslog para o seu agente do Bindplane:

     {
       "handler": {
         "outputters": [
           {
             "name": "syslog",
             "adapter": "kvpair",
             "enabled": true,
             "stream": {
               "uri": "udp://BINDPLANE_AGENT_IP:514"
             }
           }
         ]
       }
     }
     

7. Substitua BINDPLANE_AGENT_IP pelo endereço IP do seu agente do Bindplane.

Inicie o cliente eNcore

1. Teste a ligação no modo de primeiro plano:

   ./encore.sh foreground
   

2. Depois de validado, inicie o eNcore como um serviço em segundo plano:

   ./encore.sh start
   

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.