Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do módulo de serviço de firewall (FWSM) da Cisco

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do módulo de serviço de firewall (FWSM) da Cisco no Google Security Operations usando o Bindplane. O analisador primeiro extrai campos comuns, como carimbos de data/hora, endereços IP e descrições de eventos das mensagens syslog do appliance usando padrões Grok. Em seguida, ele mapeia as informações extraídas para o esquema do modelo de dados unificado (UDM) padronizado, convertendo tipos de dados, renomeando campos e enriquecendo a saída com classificações relacionadas à segurança com base em valores e palavras-chave específicos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se você estiver executando em um proxy, verifique se as portas de firewall estão abertas
Acesso privilegiado ao appliance Cisco FWSM

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo com segurança no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID de cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para outras opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FWSM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reiniciar o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute este comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira este comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Cisco FWSM

Faça login no Cisco FWSM usando SSH ou uma conexão de console.
Configure a geração de registros:
```
logging on
```
Configure o nível de registro:
```
logging trap <level>
```
- Mude o nível de captura de registro para 6 (informativo).

Configure as configurações do Syslog:

logging host [interface] bindplane_ip_address udp[/bindplane_port]

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
1.1.1.1	observer.ip	Extraído da mensagem de registro usando o padrão Grok.
2.2.2.2	principal.ip target.ip	Extraído da mensagem de registro usando o padrão Grok. O IP de destino é mapeado para principal.ip ou target.ip com base na direção da conexão. Quando `dst outside`, ele será mapeado para principal.ip. Caso contrário, será mapeado para target.ip.
3.3.3.3	principal.ip target.ip	Extraído da mensagem de registro usando o padrão Grok. O IP de origem é mapeado para principal.ip ou target.ip com base na direção da conexão. Quando `dst outside`, ele será mapeado para principal.ip. Caso contrário, será mapeado para target.ip.
3 de abril, 10h35min40		Esse carimbo de data/hora não é capturado no UDM.
3 de abril, 10h44min38		Esse carimbo de data/hora não é capturado no UDM.
3 de abril, 11h20min34		Esse carimbo de data/hora não é capturado no UDM.
3 de abril, 11h20min38		Esse carimbo de data/hora não é capturado no UDM.
29 de abril, 16h09min44		Esse carimbo de data/hora não é capturado no UDM.
Negar	security_result.action_details	Extraído da mensagem de registro usando o padrão Grok.
Negado	security_result.action_details	Extraído da mensagem de registro usando o padrão Grok.
FWSM-3-106011	metadata.product_event_type	Extraído da mensagem de registro usando o padrão Grok.
FWSM-3-313001	metadata.product_event_type	Extraído da mensagem de registro usando o padrão Grok.
FWSM-4-106023	metadata.product_event_type	Extraído da mensagem de registro usando o padrão Grok.
FWSM-4-302010	metadata.product_event_type	Extraído da mensagem de registro usando o padrão Grok.
FWSM-4-302016	metadata.product_event_type	Extraído da mensagem de registro usando o padrão Grok.
ICMP	network.ip_protocol	Extraído da mensagem de registro usando o padrão Grok e convertido para maiúsculas.
TCP	network.ip_protocol	Extraído da mensagem de registro usando o padrão Grok e convertido para maiúsculas.
Eliminação	security_result.action_details	Extraído da mensagem de registro usando o padrão Grok.
UDP	network.ip_protocol	Extraído da mensagem de registro usando o padrão Grok e convertido para maiúsculas.
111	target.port	Extraído da mensagem de registro usando o padrão Grok e convertido em número inteiro. Quando `dst outside`, ele será mapeado para principal.port. Caso contrário, será mapeado para target.port.
17608	principal.port	Extraído da mensagem de registro usando o padrão Grok e convertido em número inteiro. Quando `dst outside`, ele será mapeado para principal.port. Caso contrário, será mapeado para target.port.
3000	principal.port	Extraído da mensagem de registro usando o padrão Grok e convertido em número inteiro. Quando `dst outside`, ele será mapeado para principal.port. Caso contrário, será mapeado para target.port.
33103	target.port	Extraído da mensagem de registro usando o padrão Grok e convertido em número inteiro. Quando `dst outside`, ele será mapeado para principal.port. Caso contrário, será mapeado para target.port.
514	principal.port target.port	Extraído da mensagem de registro usando o padrão Grok e convertido em número inteiro. Quando `dst outside`, ele será mapeado para principal.port. Caso contrário, será mapeado para target.port.
	metadata.description	Todo o campo `descrip` do registro bruto é mapeado para esse campo.
	metadata.event_timestamp	O carimbo de data/hora do objeto em lote é usado como o carimbo de data/hora do evento.
	metadata.event_type	Determinado com base na presença de IPs de origem e destino: - NETWORK_CONNECTION: os IPs de origem e destino estão presentes. - STATUS_UPDATE: apenas o IP de origem está presente. - GENERIC_EVENT: nenhum IP de origem ou destino está presente.
	metadata.product_name	Fixado no código como `CISCO_FWSM`.
	metadata.vendor_name	Fixado no código como `CISCO`.
	principal.resource.type	Mapeado do campo `facility` extraído da mensagem de registro.
	security_result.action	Definido como `BLOCK` se o campo `action` for `Deny`, `Teardown`, `denied` ou `Denied`.
	security_result.severity	Determinado com base no campo `severity_level`: - 7, 6: INFORMATIONAL - 5: LOW - 4: MEDIUM - 3: ERROR - 2: HIGH - other: CRITICAL
	network.direction	Mapeado do campo `direction` extraído da mensagem de registro. Se o campo `direction` for `inbound`, esse campo será definido como `INBOUND`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.