本頁面由 Cloud Translation API 翻譯而成。

收集 Cisco eStreamer 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Cisco eStreamer 記錄擷取至 Google Security Operations。剖析器會使用 grok 剖析初始訊息，並使用 kv 處理鍵/值資料，以鍵/值格式從 SYSLOG 訊息中擷取欄位。然後將這些擷取的欄位對應至統一資料模型 (UDM)，處理各種資料類型，並根據主體和目標資訊的存在與否，以事件類型等中繼資料擴充事件。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2012 SP2 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Cisco Firepower Management Center (FMC) 的特殊權限
執行 eNcore CLI 用戶端的 Linux 系統

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /opt/observiq-otel-collector/ 目錄，或 Windows 的 `C:\Program Files\observIQ OpenTelemetry Collector` 目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CISCO_ESTREAMER'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中，驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Cisco eStreamer 上設定 Syslog 轉送

在 Firepower Management Center 上設定 eStreamer

登入 Firepower Management Center。
依序前往「System」>「Integration」>「eStreamer」。
按一下「eStreamer」eStreamer，存取 eStreamer 事件設定。
找出要擷取的事件類型，然後勾選旁邊的核取方塊：
- 入侵事件：入侵偵測事件
- 入侵事件封包資料：與入侵事件相關聯的封包擷取資料
- 連線事件：適用於網路連線資料
- 安全情報事件：用於威脅情報資料
- 檔案事件：適用於檔案分析事件
- 惡意軟體事件：惡意軟體偵測事件
按一下 [儲存]。

建立 eStreamer 用戶端

在「eStreamer」頁面中，按一下「Create Client」(建立用戶端)。
提供下列設定詳細資料：
- 主機名稱：輸入要執行 eNcore 用戶端的 Linux 系統 IP 位址。
- 「密碼」：輸入密碼來加密憑證檔案。
按一下 [儲存]。
下載產生的 PKCS12 憑證檔案，並傳輸至 eNcore 用戶端系統。

安裝及設定 eNcore CLI 用戶端

在 Linux 系統上，從 Cisco 下載 eStreamer eNcore CLI 用戶端。

解壓縮 eNcore 套件：

tar -xzf eStreamer-eNcore-*.tar.gz
cd eStreamer-eNcore-*

執行設定指令碼：
```
./encore.sh setup
```
系統提示時，請選擇鍵/值組的輸出格式 (與 SIEM 系統相容)。
輸入 FMC IP 位址和 PKCS12 憑證密碼。

設定 estreamer.conf 檔案，將系統記錄訊息輸出至 Bindplane 代理程式：

使用文字編輯器開啟 estreamer.conf 檔案。

找出輸出器部分，並設定將系統記錄傳送至 Bindplane 代理程式：

{
  "handler": {
    "outputters": [
      {
        "name": "syslog",
        "adapter": "kvpair",
        "enabled": true,
        "stream": {
          "uri": "udp://BINDPLANE_AGENT_IP:514"
        }
      }
    ]
  }
}

將 BINDPLANE_AGENT_IP 替換為 Bindplane 代理程式的 IP 位址。

啟動 eNcore Client

在前台模式下測試連線：
```
./encore.sh foreground
```
驗證完成後，請以背景服務的形式啟動 eNcore：
```
./encore.sh start
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`act`	`security_result.action_details`	原始記錄中的 `act` 值會指派給這個欄位。
`act`	`security_result.action`	如果 `act` 的值為「Allow」(不區分大小寫)，系統會將「ALLOW」值指派給這個欄位。
`app`	`network.http.user_agent`	原始記錄中的 `app` 值 (在剖析器中重新命名為 `requestClientApplication`) 會指派給這個欄位。
`blockLength`	`security_result.detection_fields[].key`	字串「blocklength」會指派給這個欄位。
`blockLength`	`security_result.detection_fields[].value`	原始記錄中的 `blockLength` 值會轉換為字串，並指派給這個欄位。
`blockType`	`security_result.detection_fields[].key`	這個欄位會指派「blockType」字串。
`blockType`	`security_result.detection_fields[].value`	原始記錄中的 `blockType` 值會轉換為字串，並指派給這個欄位。
`bytesIn`	`network.received_bytes`	原始記錄中的 `bytesIn` 值會指派給這個欄位，並轉換為無正負號整數。
`bytesOut`	`network.sent_bytes`	原始記錄中的 `bytesOut` 值會指派給這個欄位，並轉換為無正負號整數。
`cat`	`security_result.category_details`	原始記錄中的 `cat` 值會指派給這個欄位。
`cs1`	`security_result.detection_fields[].value`	原始記錄中的 `cs1` 值會指派給這個欄位。
`cs1Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs1Label` 值會指派給這個欄位。
`cs2`	`security_result.detection_fields[].value`	原始記錄中的 `cs2` 值會指派給這個欄位。
`cs2Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs2Label` 值會指派給這個欄位。
`cs3`	`security_result.detection_fields[].value`	原始記錄中的 `cs3` 值會指派給這個欄位。
`cs3Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs3Label` 值會指派給這個欄位。
`cs4`	`security_result.detection_fields[].value`	原始記錄中的 `cs4` 值會指派給這個欄位。
`cs4Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs4Label` 值會指派給這個欄位。
`cs5`	`security_result.detection_fields[].value`	原始記錄中的 `cs5` 值會指派給這個欄位。
`cs5Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs5Label` 值會指派給這個欄位。
`cs6`	`security_result.detection_fields[].value`	原始記錄中的 `cs6` 值會指派給這個欄位。
`cs6`	`security_result.rule_id`	原始記錄中的 `cs6` 值會指派給這個欄位。
`cs6Label`	`security_result.detection_fields[].key`	原始記錄中的 `cs6Label` 值會指派給這個欄位。
`data`	`security_result.detection_fields[].value`	如果 `suser` 欄位是 JSON，則原始記錄中 `suser` JSON 物件的 `data` 值會指派給這個欄位。
`deviceInboundInterface`	`additional.fields[].key`	字串「deviceInboundInterface」會指派給這個欄位。
`deviceInboundInterface`	`additional.fields[].value.string_value`	原始記錄中的 `deviceInboundInterface` 值會指派給這個欄位。
`deviceOutboundInterface`	`additional.fields[].key`	字串「deviceOutboundInterface」會指派給這個欄位。
`deviceOutboundInterface`	`additional.fields[].value.string_value`	原始記錄中的 `deviceOutboundInterface` 值會指派給這個欄位。
`dpt`	`target.port`	原始記錄中的 `dpt` 值會指派給這個欄位，並轉換為整數。
`dst`	`target.asset.ip`	原始記錄中的 `dst` 值會指派給這個欄位。
`dst`	`target.ip`	原始記錄中的 `dst` 值會指派給這個欄位。
`dvcpid`	`security_result.about.process.pid`	原始記錄中的 `dvcpid` 值會指派給這個欄位。
`dvchost`	`target.asset.hostname`	原始記錄中的 `dvchost` 值會指派給這個欄位。
`dvchost`	`target.hostname`	原始記錄中的 `dvchost` 值會指派給這個欄位。
`hostname`	`principal.asset.hostname`	原始記錄中的 `hostname` 值會指派給這個欄位。
`hostname`	`principal.hostname`	原始記錄中的 `hostname` 值會指派給這個欄位。由剖析器邏輯根據 `principal` 和 `target` 資訊是否存在而決定。如果兩者都有，值為「NETWORK_CONNECTION」。如果只有 `principal`，值為「STATUS_UPDATE」。如果只有 `target`，值為「USER_UNCATEGORIZED」。否則，值為「GENERIC_EVENT」。
`product_event_type`	`metadata.product_event_type`	原始記錄中的 `product_event_type` 值會指派給這個欄位。
`product_name`	`metadata.product_name`	原始記錄中的 `product_name` 值會指派給這個欄位。
`proto`	`network.ip_protocol`	原始記錄中的 `proto` 值會轉換為整數，然後對應至相應的 IP 通訊協定名稱 (例如 6 會變成 TCP，17 會變成 UDP)，方法是使用「parse_ip_protocol.include」中包含的查閱項目。
`severity`	`security_result.severity_details`	原始記錄中的 `severity` 值會指派給這個欄位。
`spt`	`principal.port`	原始記錄中的 `spt` 值會指派給這個欄位，並轉換為整數。
`src`	`principal.asset.ip`	原始記錄中的 `src` 值會指派給這個欄位。
`src`	`principal.ip`	原始記錄中的 `src` 值會指派給這個欄位。
`suser`	`security_result.detection_fields[].value`	如果原始記錄中的 `suser` 值不是 JSON 物件，系統會將該值指派給這個欄位。如果是 JSON，系統會使用 `suser` 物件的 `data` 欄位。
`suser`	`security_result.detection_fields[].key`	這個欄位會指派「suser」字串。
`ts`	`metadata.event_timestamp`	系統會將原始記錄中的 `ts` 值剖析為時間戳記，並指派給這個欄位。系統會嘗試多種時間戳記格式，直到成功剖析為止。
`vendor_name`	`metadata.vendor_name`	原始記錄中的 `vendor_name` 值會指派給這個欄位。
`version`	`metadata.product_version`	原始記錄中的 `version` 值會指派給這個欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。