Cisco ISE ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Cisco ISE ログを Google Security Operations に取り込む方法について説明します。

パーサーは、Cisco ISE の syslog と CSV 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • Cisco ISE 管理ポータルへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    
  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector
    

サービスは RUNNING と表示されます。

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    
  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector
    

サービスが [アクティブ(実行中)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml
    
  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
    

構成ファイルを編集します。

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            customer_id: 'YOUR_CUSTOMER_ID'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: 'CISCO_ISE'
            raw_log_field: body
            ingestion_labels:
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    

構成パラメータ

  • 各プレースホルダを次のように置き換えます。

    • レシーバーの構成:

      • udplog: UDP Syslog には udplog、TCP Syslog には tcplog を使用します。
      • 0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は 0.0.0.0
      • 514: リッスンするポート番号(標準の syslog ポート)
    • エクスポータの構成:

      • creds_file_path: 取り込み認証ファイルのフルパス:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 ID
      • endpoint: リージョン エンドポイント URL:
        • 米国: malachiteingestion-pa.googleapis.com
        • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
        • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 完全なリストについては、リージョン エンドポイントをご覧ください。
      • log_type: Chronicle に表示されるログタイプ(CISCO_ISE

構成ファイルを保存する

  • 編集後、ファイルを保存します。
    • Linux: Ctrl+OEnterCtrl+X の順に押します。
    • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector
    
    1. サービスが実行されていることを確認します。

        sudo systemctl status observiq-otel-collector
      
    2. ログでエラーを確認します。

        sudo journalctl -u observiq-otel-collector -f
      
  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector
      
    • サービス コンソール:

      1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
      2. observIQ OpenTelemetry Collector を見つけます。
      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector
        
      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
        

Cisco ISE で Syslog 転送を構成する

  1. Cisco ISE Administration ポータルにログインします。
  2. [Administration] > [System] > [Logging] > [Remote Logging Targets] に移動します。
  3. [追加] をクリックして、新しいリモート ロギング ターゲットを作成します。
  4. 次の構成の詳細を指定します。
    • 名前: わかりやすい名前を入力します(例: Google-SecOps-Bindplane)。
    • 説明: 説明を入力します(省略可)。
    • IP アドレス: Bindplane エージェント ホストの IP アドレスを入力します。
    • ポート: 「514」と入力します。
    • ファシリティ コード: LOCAL6(または任意のファシリティ)を選択します。
    • 最大長: 8192(またはサポートされている最大値)を入力します。
    • アラームを Syslog メッセージに含める: アラームを含める場合はオンにします。
  5. [保存] をクリックします。
  6. [Administration] > [System] > [Logging] > [Logging Categories] に移動します。
  7. 転送するロギング カテゴリをそれぞれ選択し、[編集] をクリックします。
    • AAA 監査
    • AAA 診断
    • 会計
    • 管理者の監査
    • ポスチャーとクライアント プロビジョニングの監査
    • Profiler
    • システム診断
  8. [ターゲット] セクションで、リモート ロギング ターゲット Google-SecOps-Bindplane を [利用可能] から [選択済み] に移動します。
  9. [保存] をクリックします。
  10. Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング 備考
AAA_Event security_result.detection_fields
AAA_Security_Result.detection_fields aaa_service
ac-user-agent network.http.user_agent
Acct-Authentic security_result.detection_fields
Acct-Delay-Time security_result.detection_fields
Acct-Input-Octets security_result.detection_fields
Acct-Input-Packets security_result.detection_fields
Acct-Output-Octets security_result.detection_fields
Acct-Output-Packets security_result.detection_fields
Acct-Session-Id sec_result.detection_fields、additional.fields
Acct-Session-Time security_result.detection_fields
Acct-Status-Type security_result.detection_fields
Acct-Terminate-Cause security_result.detection_fields
AcctReply-Status security_result.detection_fields
AcctRequest-Flags security_result.detection_fields
ACS_CiscoSecure_Defined_ACL security_result.detection_fields
AcsSessionID sec_result.detection_fields、additional.fields
アクション security_result.action_details
action_details security_result.action_details
ActiveSessionCount security_result.detection_fields
ad_identifier about.hostname
ad_join_point principal.administrative_domain
ad_operating_system principal.platform
AD-Account-Name principal.user.userid、target.hostname
AD-Domain principal.group.group_display_name
AD-Domain-Controller target.administrative_domain
AD-Error-Details security_result.description
AD-Forest target.resource.attribute.labels
AD-Groups-Names principal.user.group_identifiers
AD-Host-Candidate-Identities sec_result.detection_fields
AD-IP-Address target.ip、target.asset.ip
AD-Log-Id sec_result.detection_fields
AD-Site target.location.name
AD-Srv-Query security_result.detection_fields
AD-Srv-Record security_result.detection_fields
AD-User-Candidate-Identities principal.user.attribute.labels
AD-User-DNS-Domain network.dns_domain
AD-User-Join-Point target.hostname、target.asset.hostname
AD-User-NetBios-Name principal.user.attribute.labels
AD-User-Qualified-Name principal.user.email_addresses
AD-User-Resolved-DNs principal.user.attribute.labels
AD-User-Resolved-Identities sec_result.detection_fields、principal.user.userid
AD-User-Resolved-Identities
AD-User-SamAccount-Name principal.user.attribute.labels
管理者 principal.user.userid
AdminInterface principal.user.attribute.labels
AdminIPAddress principal.ip
AdminName principal.user.userid
affected-dn target.resource.nametarget.resource.attribute.labels、target.resource.resource_type target.resource.resource_type => "USER"
Airespace-Wlan-Id additional.fields
allowEasyWiredSession sec_result.detection_fields、additional.fields
AMInstalled security_result.detection_fields
assetDeviceType principal.resource.name
assetIncidentScore security_result.detection_fields
Audit_session_id sec_result.detection_fields
AuditSessionId sec_result.detection_fields
Authen-Reply-Status security_result.detection_fields
AuthenticationIdentityStore sec_result.detection_fields、additional.fields
AuthenticationMethod security_result.detection_fields
AuthenticationResult security_result.action
AuthenticationStatus security_result.action、security_result.action_details
Author-Reply-Status additional.fields
AuthorizationFailureReason security_result.detection_fields
AuthorizationPolicyMatchedRule security_result.rule_name
av-pair-severity security_result.detection_fields
BYODRegistration sec_result.detection_fields
CacheUpdateTime security_result.detection_fields
Called-Station-ID security_result.detection_fields, target.ip, target.mac
Calling-Station-ID security_result.detection_fields、principal.ip、principal.mac
cdpCacheAddressType security_result.detection_fields
cdpCacheVersion security_result.detection_fields
cdpUndefined28 security_result.detection_fields
変更セット additional.fields
Chargeable-User-Identity principal.user.attribute.labels
cisco-av-pair additional.fields、security_result.detection_fields
CiscoIOS security_result.detection_fields
クラス sec_result.detection_fields
client_type additional.fields
client-iif-id security_result.detection_fields
ClientLatency security_result.detection_fields、additional.fields
CmdSet target.process.command_line
coa-push security_result.detection_fields
CoAClientInstanceDestinationIPAddress target.ip、target.asset.ip
coaReason security_result.detection_fields
coaSourceComponent security_result.detection_fields
coaType security_result.detection_fields
コンポーネント security_result.detection_fields
ConfigChangeData security_result.detection_fields
ConfigVersionId sec_result.detection_fields、additional.fields
connect-progress security_result.detection_fields
ConnectionStatus sec_result.detection_fields
ConnectionStatus=Failed security_result.action ="BLOCK"
Constructeurs principal.asset.hardware.manufacturer
counters_kvp event.idm.read_only_udm.target.asset.attribute.labels
CPMSessionID security_result.detection_fields、additional.fields、network.session_id
CreateTime event.idm.read_only_udm.principal.asset.attribute.creation_time
cts_security_group_tag security_result.detection_fields
cts-pac-opaque security_result.detection_fields
datetime metadata.event_timestamp
days_to_expiry security_result.detection_fields
DeltaRadiusRequestCount security_result.detection_fields
DeltaTacacsRequestCount security_result.detection_fields
説明 security_result.detection_fields
DestinationIPAddress target.ip、target.asset.ip
DestinationIPAddress target.ip、target.asset.ip
DestinationPort target.port
DetailedInfo sec_result.description
Device_IP_Address principal.ip、principal.asset.ip
device-mac principal.mac
device-platform principal.platform
device-platform-version principal.platform_version
device-public-mac principal.mac
device-type principal.asset.hardware.model
device-uid principal.resource.product_object_id
device-uid-global principal.asset.product_object_id
DeviceIPAddress principal.ip、target.ip、intermediary.ip
DevicePort principal.port、target.port、intermediary.port
DeviceRegistrationStatus sec_result.detection_fields
dhcp-class-identifier security_result.detection_fields
dhcp-parameter-request-list additional.fields
Domaines additional.fields
DoReplicate security_result.detection_fields
DTLSSupport security_result.detection_fields
EAP-Key-Name additional.fields
EapTunnel additional.fields
EmailAddress principal.user.email_addresses
EnableFlag additional.fields
EnableSingleConnect security_result.detection_fields
End-of-LLDPDU security_result.detection_fields
endpoint_id principal.mac、principal.asset.mac
EndpointCertainityMetric sec_result.detection_fields
EndpointIdentityGroup principal.group.group_display_name
EndpointIPAddress principal.asset.ip
EndPointMACAddress principal.mac、principal.asset.mac
EndPointMatchedProfile security_result.about.labels、additional.fields
EndpointNADAddress sec_result.detection_fields
EndpointOUI sec_result.detection_fields
EndpointPolicy principal.asset.platform_software.platform_version, security_result.detection_fields
EndPointPolicyID security_result.detection_fields
EndPointProfilerServer target.hostname
EndpointProperty sec_result.detection_fields
EndPointSource target.resource.attribute.labels
EndpointSourceEvent sec_result.detection_fields
EndpointUserAgent network.http.user_agent
EndPointVersion security_result.detection_fields
epid security_result.detection_fields
エラー メッセージ additional.fields
イベント additional.fields
extended_key_usage_oid additional.fields
external_groups additional.fields
FailureFlag security_result.detection_fields
FailureReason sec_result.detection_fields、additional.fields
FeedService security_result.detection_fields
FirstCollection event.idm.read_only_udm.principal.asset.first_discover_time
foreign_ip intermediary.ip
FQSubjectName security_result.detection_fields
Framed-MTU additional.fields
Framed-Protocol sec_result.detection_fields
FramedIPAddress security_result.detection_fields
group_name principal.group.group_display_name
Header-Flags security_result.detection_fields
HostIdentityGroup additional.fields
IdentityAccessRestricted security_result.detection_fields
IdentityGroup principal.group.group_display_name
IdentityGroupID principal.group.product_object_id
IdentityPolicyMatchedRule sec_result.about.labels、additional.fields
IdentitySelectionMatchedRule sec_result.detection_fields
Idle-Timeout security_result.detection_fields
idletime security_result.detection_fields
IMEI target.asset.product_object_id
inacl_rule security_result.detection_fields
intermediary_hostname intermediary.hostname
ionTimeStamp security_result.detection_fields
ios-version principal.asset.software.version
ip_inacl_rule security_result.detection_fields
ip_source_ip principal.ip、principal.asset.ip
IpAddress principal.ip、principal.asset.ip
IPSEC additional.fields
ise_port principal.port、intermediary.port
ISELocalAddress intermediary.ip、principal.ip
ISEModuleName sec_result.detection_fields
ISEPolicySetName target.resource.name
ISEServiceName sec_result.detection_fields
IsMachineAuthentication security_result.detection_fields
IsMachineIdentity security_result.detection_fields
IsRegistered security_result.detection_fields
発行元 about.labels
IsThirdPartyDeviceFlow sec_result.detection_fields、additional.fields
key_usage additional.fields
LastActivity event.idm.read_only_udm.principal.asset.last_discover_time
LastNmapScanTime sec_result.detection_fields
LicenseType additional.fields
lldpManAddress security_result.detection_fields
lldpPortDescription security_result.detection_fields
lldpPortId security_result.detection_fields
lldpSystemCapabilitiesMap security_result.detection_fields
lldpSystemDescription security_result.detection_fields
lldpTimeToLive security_result.detection_fields
lldpUndefined127 security_result.detection_fields
localport principal.port
場所 principal.location.country_or_region、target.location.country_or_region、security_result.detection_fields
log-id metadata.product_log_id
logstash.ingest.host intermediary.hostname
logstash.ingest.timestamp metadata.ingested_timestamp
logstash.irm_environment additional.fields
logstash.irm_region additional.fields
logstash.irm_site additional.fields
logstash.process.host intermediary.hostname
logstash.process.timestamp metadata.collected_timestamp
MAC principal.mac
mac_UserName principal.mac
MacAddress principal.mac
MajorVersion security_result.detection_fields
メーカー target.asset.hardware.manufacturer
MatchedPolicy security_result.detection_fields
MatchedPolicyID security_result.rule_id
MDMFailureReason sec_result.detection_fields
MDMServerName metadata.product_name
mDNS security_result.detection_fields
メッセージ security_result.description
MFCInfoEndpointType principal.asset.asset_type、principal.asset.attribute.labels
MinorVersion security_result.detection_fields
MisconfiguredClientFixReason security_result.detection_fields
モデル target.asset.hardware.model
Model_Name principal.asset.attribute.labels
msg_class metadata.description
msg_sev security_result.severity、sec_result.severity_details
msg_text metadata.description、security_result.severity、sec_result.severity_details、security_result.action
msg_text security_result.action
NAD アドレス principal.ip
NADAddress intermediary.ip
名前 principal.group.group_identifiers
nas_ip_address principal.nat_ip
NAS-Identifier principal.labels
NAS-IP-Address principal.nat_ip、principal.ip
NAS-Port principal.port、principal.labels
nas-update security_result.detection_fields
NASIdentifier security_result.detection_fields、principal.labels
NASPort 有効な場合は principal.nat_port、それ以外の場合は security_result.detection_fields、principal.labels
NASPortId security_result.detection_fields、principal.labels
NASPortType security_result.detection_fields、principal.labels
ネットワーク デバイス名 target.hostname、target.asset.hostname
network_adapter target.resource.name
network_application_protocol_result network.application_protocol
NetworkDeviceGroups sec_result.detection_fields
NetworkDeviceGroups_IPSEC additional.fields
NetworkDeviceProfileId principal.asset.asset_id
NetworkDeviceProfileName principal.asset.attribute.labels
NmapScanCount security_result.detection_fields
ntp_server_1 target.ip、target.asset.ip
ntp_server_2 target.ip、target.asset.ip
ntp_server_3 target.ip、target.asset.ip
ObjectInternalID security_result.detection_fields
ObjectName security_result.about.labels
ObjectType security_result.labout.abels、additional.fields
operating-system-result target.asset.platform_software.platform_version target.platform = WINDOWS
OperatingSystem target.asset.platform_software.platform_version
OperationMessageText sec_result.detection_fields
OperationMessageText about.labels
OUI security_result.detection_fields
pad security_result.detection_fields
PeerAddress target.mac、target.asset.mac
PeerName target.hostname、target.asset.hostname
PhoneNumber principal.user.phone_numbers
platform-version principal.platform_version
PolicyVersion security_result.detection_fields
ポート principal.port、target.port
Portal_Name additional.fields
PortalName target.url
PortalUser principal.user.userid
PortalUser_GuestSponsor principal.user.attribute.labels
PortalUser_GuestType principal.user.attribute.labels
PostureApplicable security_result.detection_fields
PostureAssessmentStatus sec_result.detection_fields、additional.fields
PostureExpiry sec_result.detection_fields
PostureStatus sec_result.detection_fields
principal_hostname principal.hostname
principal_ip principal.ip、principal.asset.ip
profile-name security_result.detection_fields
ProfilerServer sec_result.detection_fields
プロトコル security_result.detection_fields
r_ip_or_host observer.ip、observer.hostname、intermediary.hostname、intermediary.ip
r_seg_num metadata.product_log_id
RadiusFlowType security_result.about.labels、additional.fields
RadiusPacketType security_result.detection_fields
received_b network.received_bytes
RegisterStatus security_result.rule_name
RegistrationTimeStamp sec_result.detection_fields
RemoteAddress principal.ip、principal.asset.ip
RequestLatency sec_result.detection_fields、additional.fields
RequestResponseTypes security_result.detection_fields
ResponseTime sec_result.detection_fields
SelectedAccessService sec_result.detection_fields、additional.fields
SelectedAuthenticationIdentityStores security_result.detection_fields
SelectedAuthorizationProfiles sec_result.detection_fields、additional.fields
SelectedShellProfile additional.fields
sent_b network.sent_bytes
sequence_num metadata.product_log_id
シーケンス番号 security_result.detection_fields
serial_number about.labels、network.tls.server.certificate.serial
server_label principal.asset.attribute.labels
Service-Type sec_result.detection_fields、additional.fields
session-id network.session_id
Session-Timeout network.session_duration
shell_role principal.user.attribute.roles.name
ShutdownReason security_result.detection_fields
SkipProfiling security_result.detection_fields
software_version principal.asset.platform_software.platform_version
ソース principal.ip, principal.hostname
source_ip src_ip
source_port src.port
SSID additional.fields
start_time security_result.first_discovered_time
StaticAssignment security_result.detection_fields
StaticGroupAssignment sec_result.detection_fields
ステップ additional.fields
StepData about.hostname、additional.fields
StepLatency additional.fields
stop_time security_result.last_discovered_time
件名 about.labels
subject_alt_name about.labels
subscriber_command security_result.detection_fields
syslog_host principal.ip、principal.asset.ip
SysStatsCpuCount target.asset.hardware.cpu_number_cores
SysStatsProcessMemoryMB target.asset.hardware.ram
SysStatsUtilizationDiskIO target.asset.attribute.labels
SysStatsUtilizationDiskSpace target.asset.attribute.labels
SysStatsUtilizationLoadAvg target.asset.attribute.labels
SystemDomain principal.asset.network_domain
SystemName principal.hostname、principal.hostname
SystemUser principal.user.userid
SystemUserDomain principal.administrative_domain
target_email target.user.email_addresses
target_group_identifiers target.user.group_identifiers
target_hostname target.hostname
target_ip target.ip、target.asset.ip
target_port target.port
target_user target.user.userid
target.resource.resource_type DEVICE
task_id additional.fields
TaskId security_result.detection_fields
Template_Name additional.fields
Termination-Action security_result.detection_fields
threshold_value additional.fields
TimeToProfile sec_result.detection_fields
TLSCipher network.tls.cipher
TLSVersion network.tls.version
total_certainty_factor sec_result.detection_fields
TotalAuthenLatency security_result.detection_fields、additional.fields
TotalFailedTime sec_result.detection_fields
Tunnel-Client-Endpoint sec_result.detection_fields
タイプ additional.fields
undefined-151 additional.fields
UniqueConnectionIdentifier sec_result.detection_fields
UpdateTime sec_result.detection_fields
url-redirect target.url
url-redirect-acl security_result.detection_fields
UseCase sec_result.detection_fields
used_space_value additional.fields
ユーザー principal.user.userid
ユーザー principal.user.userid
user_display_name principal.user.user_display_name
User-AD-Last-Fetch-Time principal.user.attribute.labels
ユーザー エージェント network.http.user_agent、network.http.parsed_user_agent
User-Fetch-Email sec_result.detection_fields
User-Fetch-Last-Name principal.user.last_name
User-Fetch-LocalityName sec_result.detection_fields
User-Fetch-StateOrProvinceName sec_result.detection_fields
User-Name target.user.userid
UserAccountControl principal.user.attribute.labels
UserAgreementStatus security_result.detection_fields
ユーザー名 target.user.userid
UserType principal.user.attribute.labels
UseSingleConnect security_result.detection_fields
vlan-id security_result.detection_fields
principal.resource.resource_type DEVICE に静的にマッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。