Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do roteador Cisco

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do roteador Cisco no Google Security Operations usando o agente Bindplane.

Os roteadores Cisco geram mensagens syslog para eventos de rede, correspondências de ACL, autenticação e operações do sistema. O analisador extrai campos usando padrões grok e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o roteador Cisco
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado à CLI do roteador Cisco

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_router:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_ROUTER
        raw_log_field: body

service:
    pipelines:
        logs/cisco_router_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_router

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz)
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

```bash
sudo systemctl status observiq-otel-collector
```

Verifique se há erros nos registros:

```bash
sudo journalctl -u observiq-otel-collector -f
```

Configurar o syslog em um roteador Cisco

Faça login no roteador Cisco.
Ampliar privilégios:
```
enable
```
Mude para o modo de configuração:
```
conf t
```
Configure o syslog:
```
logging host <BINDPLANE_IP> transport <tcp/udp> port <PORT>
logging source-interface <INTERFACE>
```
- Substitua <BINDPLANE_IP> pelo endereço IP do agente do Bindplane.
- Substitua <tcp/udp> pelo protocolo de escuta configurado (por exemplo, udp).
- Substitua <INTERFACE> pelo ID da interface da Cisco (por exemplo, Ethernet1/1).

Defina o nível de prioridade:

logging trap Informational
logging console Informational
logging severity Informational

Defina a facilidade do syslog:
```
logging facility local6
```
Ative as marcações de tempo:
```
service timestamps log datetime
```
Salve e saia.
Salve a configuração para sobreviver à reinicialização:
```
copy running-config startup-config
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`client_ip`	target.ip, target.asset.ip	O valor é extraído do campo `client_ip` pelo analisador grok.
`client_mac`	target.mac	O valor é extraído do campo `client_mac` pelo analisador grok.
`dst_ip`	target.ip, target.asset.ip	O valor é extraído do campo `dst_ip` pelo analisador grok.
`dst_port`	target.port	O valor é extraído do campo `dst_port` pelo analisador grok e convertido em um número inteiro.
`duration`	-	Esse campo não é mapeado para a UDM.
`host_ip`	target.ip, target.asset.ip	O valor é extraído do campo `host_ip` pelo analisador grok.
`local_proxy`	intermediary.ip	O valor é extraído do campo `local_proxy` pelo analisador grok.
`message_data`	metadata.description	O valor é extraído do campo `message_data` pelo analisador grok.
`protocol`	network.ip_protocol	O valor é extraído do campo `protocol` pelo analisador grok e convertido para letras maiúsculas.
`received_bytes`	network.received_bytes	O valor é extraído do campo `received_bytes` pelo analisador grok e convertido em um número inteiro sem sinal.
`referral_url`	network.http.referral_url	O valor é extraído do campo `referral_url` pelo analisador grok.
`remote_proxy`	intermediary.ip	O valor é extraído do campo `remote_proxy` pelo analisador grok.
`send_bytes`	network.sent_bytes	O valor é extraído do campo `send_bytes` pelo analisador grok e convertido em um número inteiro sem sinal.
`sent_bytes`	network.sent_bytes	O valor é extraído do campo `sent_bytes` pelo analisador grok e convertido em um número inteiro sem sinal.
`server_host`	target.hostname, target.asset.hostname	O valor é extraído do campo `server_host` pelo analisador grok.
`server_ip`	target.ip, target.asset.ip	O valor é extraído do campo `server_ip` pelo analisador grok.
`src_ip`	principal.ip, principal.asset.ip	O valor é extraído do campo `src_ip` pelo analisador grok.
`src_port`	principal.port	O valor é extraído do campo `src_port` pelo analisador grok e convertido em um número inteiro.
`user_ip`	target.ip, target.asset.ip	O valor é extraído do campo `user_ip` pelo analisador grok.
`user_mail`	principal.user.userid, principal.user.email_addresses	O valor é extraído do campo `user_mail` pelo analisador grok.
`username`	target.user.userid	O valor é extraído do campo `username` pelo analisador grok.
-	metadata.event_timestamp	O valor é extraído do campo `create_time`.
-	metadata.event_type	O valor é definido como `GENERIC_EVENT` por padrão e muda para tipos de eventos específicos com base na mensagem de registro analisada.
-	metadata.log_type	O valor é definido como `CISCO_ROUTER`.
-	metadata.product_event_type	O valor é extraído do campo `message_type`, que é gerado combinando os campos `facility`, `priority` e `mnemonics`.
-	metadata.product_name	O valor é definido como `Router`.
-	metadata.vendor_name	O valor é definido como `Cisco`.
-	network.application_protocol	O valor é definido como `HTTP` ou `HTTPS` se o campo `protocol` for `http` ou `https`, respectivamente.
-	extensions.auth.type	O valor é definido como `AUTHTYPE_UNSPECIFIED` por padrão e mudado para tipos de autenticação específicos com base na mensagem de registro analisada.
-	security_result.action	O valor é definido como `ALLOW` para logins bem-sucedidos e `BLOCK` para logins com falha.
-	security_result.category	O valor é definido como `NETWORK_SUSPICIOUS` para eventos com opções de IP e `AUTH_VIOLATION` para falhas de login.
-	security_result.description	O valor é definido como mensagens específicas para diferentes eventos.
-	security_result.severity	O valor é definido como `LOW` para logins bem-sucedidos, `MEDIUM` para logins com falha e `INFORMATIONAL` para outros eventos.
-	security_result.severity_details	O valor é extraído do campo `fail_reason` para logins com falha e definido como `Informational message` para eventos com opções de IP.
-	security_result.summary	O valor é definido como mensagens específicas para diferentes eventos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.