Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Cisco Secure Workload (in precedenza Tetration Analytics)

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Cisco Secure Workload (in precedenza Tetration Analytics) in Google Security Operations utilizzando l'agente Bindplane.

Cisco Secure Workload è una piattaforma di protezione dei workload on-premise che fornisce microsegmentazione, mappatura delle dipendenze delle applicazioni e monitoraggio della conformità per i workload di data center e cloud. Genera log relativi a violazioni delle norme, eventi di flusso e incidenti di sicurezza. La piattaforma supporta l'esportazione syslog integrata per l'inoltro dei dati di avvisi e flussi a raccoglitori esterni.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il cluster Cisco Secure Workload
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso privilegiato al cluster Cisco Secure Workload con ruolo di amministratore o amministratore del sito

Ottenere un file di autenticazione dell'acquisizione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Ottenere un ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_secure_workload:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_SECURE_WORKLOAD
        raw_log_field: body

service:
    pipelines:
        logs/cisco_secure_workload_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_secure_workload

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'inoltro di Syslog di Cisco Secure Workload

Accedi alla console web Cisco Secure Workload.
Vai a Gestisci > Integrazioni esterne > Syslog.

Nota :nelle versioni precedenti di Cisco Secure Workload (Tetration), vai a Gestisci > Workloads > Connettori e aggiungi un nuovo connettore Syslog.
Fai clic su Crea nuova esportazione Syslog (o Aggiungi connettore).
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome (ad esempio, chronicle-syslog-export).
- Host: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta: inserisci 514 (o la porta configurata nel ricevitore dell'agente Bindplane).
- Protocollo: seleziona UDP.
- Struttura: seleziona local7 (o la struttura che preferisci).
- Gravità: seleziona Informativo o un livello inferiore per acquisire tutti gli eventi.
Fai clic su Salva.
Verifica che i log vengano inviati controllando i log dell'agente Bindplane per i messaggi syslog in entrata.

Nota :Cisco Secure Workload invia avvisi, eventi di violazione delle norme, dati di flusso ed eventi di applicazione tramite syslog. Assicurati che l'host dell'agente Bindplane sia raggiungibile dal cluster Cisco Secure Workload sulla porta configurata.

Riferimento per la mappatura dei campi UDM

Campo log	Mappatura UDM	Logica
connection, event_name	additional.fields	Uniti come etichette se non vuoti
alert_time	metadata.collected_timestamp	Convertito da ms epoch a timestamp
	metadata.event_type	Imposta su "NETWORK_FLOW" se has_principal è true, altrimenti "GENERIC_EVENT"
root_scope_id	metadata.product_deployment_id	Valore copiato direttamente
tipo	metadata.product_event_type	Valore copiato direttamente
key_id	metadata.product_log_id	Valore copiato direttamente
	metadata.product_name	Imposta su "SECURE WORKLOAD"
	metadata.product_version	Impostato su "1"
	metadata.vendor_name	Impostato su "CISCO"
alert_details_json.protocol	network.ip_protocol	Valore copiato direttamente se il tipo è CONFORMITÀ
details.HostName	principal.asset.hostname	Valore copiato direttamente se il tipo è ENFORCEMENT
alert_details_json.constituent_flows.0.consumer_address, details.IP	principal.asset.ip	Valore di consumer_address se il tipo è COMPLIANCE, altrimenti di details.IP, quindi rimuovi lo spazio finale e oltre
details.CurrentVersion	principal.asset.platform_software.platform_version	Valore copiato direttamente se il tipo è ENFORCEMENT
details.Bios	principal.asset.software	Valore copiato direttamente se il tipo è ENFORCEMENT
alert_details_json.time_range.0	principal.domain.first_seen_time	Convertito da ms epoch a timestamp se il tipo è COMPLIANCE
alert_details_json.time_range.1	principal.domain.last_seen_time	Convertito da ms epoch a timestamp se il tipo è COMPLIANCE
details.HostName	principal.hostname	Impostato su "UNKNOWN" se il tipo è COMPLIANCE, altrimenti valore di details.HostName se il tipo è ENFORCEMENT
alert_details_json.constituent_flows.0.consumer_address, details.IP	principal.ip	Valore di consumer_address se il tipo è COMPLIANCE, altrimenti di details.IP, quindi rimuovi lo spazio finale e oltre
details.Platform	principal.platform_version	Valore copiato direttamente se il tipo è ENFORCEMENT
alert_details_json.provider_port	principal.port	Convertito in numero intero se il tipo è COMPLIANCE
pid	principal.process.pid	Valore copiato direttamente
alert_details_json.provider_scope_ids, alert_details_json.provider_scope_names, alert_details_json.internal_trigger.label	principal.resource.attribute.labels	Unite come etichette se il tipo è CONFORMITÀ
alert_details_json.application_id	principal.resource.product_object_id	Valore copiato direttamente se il tipo è CONFORMITÀ
details.AgentType	principal.user.attribute.roles	Valore copiato direttamente se il tipo è ENFORCEMENT
alert_details_json.policy_category	security_result.category_details	Unito dall'array se il tipo è CONFORMITÀ
alert_text	security_result.description	Valore copiato direttamente
alert_conf_id	security_result.rule_id	Valore copiato direttamente se il tipo è CONFORMITÀ
alert_details_json.internal_trigger.rules.field	security_result.rule_name	Valore copiato direttamente se il tipo è CONFORMITÀ
alert_details_json.internal_trigger.rules.type	security_result.rule_type	Valore copiato direttamente se il tipo è CONFORMITÀ
gravità	security_result.severity	Valore copiato direttamente
alert_details_json.policy_type	security_result.summary	Valore copiato direttamente se il tipo è CONFORMITÀ
alert_details_json.constituent_flows.0.provider_address	target.asset.ip	Valore copiato direttamente se il tipo è CONFORMITÀ
tenant_id	target.group.product_object_id	Valore copiato direttamente se non è vuoto o "0"
	target.hostname	Impostato su "UNKNOWN"
alert_details_json.constituent_flows.0.provider_address	target.ip	Valore copiato direttamente se il tipo è CONFORMITÀ
alert_details_json.constituent_flows.0.consumer_port	target.port	Convertito in numero intero se il tipo è COMPLIANCE
alert_details_json.consumer_scope_ids, alert_details_json.consumer_scope_names	target.resource.attribute.labels	Unite come etichette se il tipo è CONFORMITÀ

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.