Recopila registros del módulo de servicio de firewall (FWSM) de Cisco
Compatible con:
Google secops
SIEM
En este documento, se explica cómo ingerir registros del módulo de servicio de firewall (FWSM) de Cisco en Google Security Operations con Bindplane. Primero, el analizador extrae campos comunes, como marcas de tiempo, direcciones IP y descripciones de eventos, de los mensajes de syslog del dispositivo con patrones de Grok. Luego, asigna la información extraída al esquema estandarizado del Modelo de datos unificado (UDM), convierte los tipos de datos, cambia el nombre de los campos y enriquece el resultado con clasificaciones relacionadas con la seguridad basadas en valores y palabras clave específicos.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host de Linux con
systemd - Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos
- Acceso con privilegios al dispositivo Cisco FWSM
Obtén el archivo de autenticación de ingesta de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de ingesta.
- Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de Bindplane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación de Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre una terminal con privilegios de administrador o raíz.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener opciones de instalación adicionales, consulta la guía de instalación.
Configura el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio el Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_FWSM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
- Reemplaza
<customer_id>por el ID de cliente real. - Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de ingesta de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la Servicios consola o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog en Cisco FWSM
- Accede a Cisco FWSM con SSH o una conexión de consola.
Configura el registro:
logging onConfigura el nivel de registro:
logging trap <level>- Cambia el nivel de captura de registro a 6 (informativo).
Configura los parámetros de configuración de syslog:
logging host [interface] bindplane_ip_address udp[/bindplane_port]
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| 1.1.1.1 | observer.ip | Se extrae del mensaje de registro con un patrón de grok. |
| 2.2.2.2 | principal.ip target.ip |
Se extrae del mensaje de registro con un patrón de grok. La IP de destino se asigna a principal.ip o target.ip según la dirección de la conexión. Cuando dst outside, se asignará a principal.ip; de lo contrario, a target.ip. |
| 3.3.3.3 | principal.ip target.ip |
Se extrae del mensaje de registro con un patrón de grok. La IP de origen se asigna a principal.ip o target.ip según la dirección de la conexión. Cuando dst outside, se asignará a principal.ip; de lo contrario, a target.ip. |
| 3 de abril a las 10:35:40 | Esta marca de tiempo no se captura en el UDM. | |
| 3 de abril a las 10:44:38 | Esta marca de tiempo no se captura en el UDM. | |
| 3 de abril a las 11:20:34 | Esta marca de tiempo no se captura en el UDM. | |
| 3 de abril a las 11:20:38 | Esta marca de tiempo no se captura en el UDM. | |
| 29 de abril a las 16:09:44 | Esta marca de tiempo no se captura en el UDM. | |
| Rechazar | security_result.action_details | Se extrae del mensaje de registro con un patrón de grok. |
| Rechazado | security_result.action_details | Se extrae del mensaje de registro con un patrón de grok. |
| FWSM-3-106011 | metadata.product_event_type | Se extrae del mensaje de registro con un patrón de grok. |
| FWSM-3-313001 | metadata.product_event_type | Se extrae del mensaje de registro con un patrón de grok. |
| FWSM-4-106023 | metadata.product_event_type | Se extrae del mensaje de registro con un patrón de grok. |
| FWSM-4-302010 | metadata.product_event_type | Se extrae del mensaje de registro con un patrón de grok. |
| FWSM-4-302016 | metadata.product_event_type | Se extrae del mensaje de registro con un patrón de grok. |
| ICMP | network.ip_protocol | Se extrae del mensaje de registro con un patrón de grok y se convierte en mayúsculas. |
| TCP | network.ip_protocol | Se extrae del mensaje de registro con un patrón de grok y se convierte en mayúsculas. |
| Eliminación | security_result.action_details | Se extrae del mensaje de registro con un patrón de grok. |
| UDP | network.ip_protocol | Se extrae del mensaje de registro con un patrón de grok y se convierte en mayúsculas. |
| 111 | target.port | Se extrae del mensaje de registro con un patrón de grok y se convierte en un número entero. Cuando dst outside, se asignará a principal.port; de lo contrario, a target.port. |
| 17608 | principal.port | Se extrae del mensaje de registro con un patrón de grok y se convierte en un número entero. Cuando dst outside, se asignará a principal.port; de lo contrario, a target.port. |
| 3000 | principal.port | Se extrae del mensaje de registro con un patrón de grok y se convierte en un número entero. Cuando dst outside, se asignará a principal.port; de lo contrario, a target.port. |
| 33103 | target.port | Se extrae del mensaje de registro con un patrón de grok y se convierte en un número entero. Cuando dst outside, se asignará a principal.port; de lo contrario, a target.port. |
| 514 | principal.port target.port |
Se extrae del mensaje de registro con un patrón de grok y se convierte en un número entero. Cuando dst outside, se asignará a principal.port; de lo contrario, a target.port. |
| metadata.description | Todo el campo descrip del registro sin procesar se asigna a este campo. |
|
| metadata.event_timestamp | La marca de tiempo del objeto de lote se usa como marca de tiempo del evento. | |
| metadata.event_type | Se determina según la presencia de IPs de origen y destino: - NETWORK_CONNECTION: Están presentes las IPs de origen y destino. - STATUS_UPDATE: Solo está presente la IP de origen. - GENERIC_EVENT: No está presente la IP de origen ni la de destino. |
|
| metadata.product_name | Codificado como CISCO_FWSM. |
|
| metadata.vendor_name | Codificado como CISCO. |
|
| principal.resource.type | Se asigna desde el campo facility extraído del mensaje de registro. |
|
| security_result.action | Se establece en BLOCK si el campo action es Deny, Teardown, denied o Denied. |
|
| security_result.severity | Se determina según el campo severity_level: - 7, 6: INFORMATIONAL - 5: LOW - 4: MEDIUM - 3: ERROR - 2: HIGH - other: CRITICAL |
|
| network.direction | Se asigna desde el campo direction extraído del mensaje de registro. Si el campo direction es inbound, este campo se establecerá en INBOUND. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.