Cisco Wireless LAN Controller-Logs (WLC) erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Wireless LAN Controller-Logs (WLC) mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Syslog-Nachrichten und verarbeitet sowohl JSON- als auch Nur-Text-Formate. Er verwendet Grok-Muster, um Schlüsselfelder wie Zeitstempel, Schweregrad und Nachrichteninhalte zu identifizieren, und füllt dann das UDM-Modell mit extrahierten Daten, einschließlich Informationen zu Haupt- und Zwischennutzern, wenn diese in den Logs verfügbar sind.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, prüfen Sie, ob die Firewall ports geöffnet sind.
Privilegierter Zugriff auf die Cisco Wireless LAN Controller
Cisco Wireless LAN Controller mit AireOS 8.8.111.0 oder höher

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agenten auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in der Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ und unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yaml so:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agenten unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf Cisco WLC konfigurieren (GUI)

Melden Sie sich in der Web-UI des WLC an.
Rufen Sie Management > Logs > Config auf.
Geben Sie im Feld Syslog Server IP Address die IP-Adresse des Bindplane-Agenten ein.
Klicken Sie auf Hinzufügen.
Geben Sie die folgenden Konfigurationsdetails an:
- Syslog Severity: Wählen Sie Informational aus.
- Syslog Facility: Wählen Sie Local Use 0 aus.
Klicken Sie auf Übernehmen.
Klicken Sie auf Konfiguration speichern.

Hinweis: Syslog-Nachrichten werden über UDP mit Port 514 gesendet.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action_data`	`read_only_udm.security_result.action_details`	Direkt aus dem Feld `action_data` zugeordnet.
`data`	`read_only_udm.metadata.description`	Direkt aus dem Feld `data` zugeordnet, nachdem einige Verarbeitungsschritte ausgeführt wurden (z.B. Entfernen von Zeitstempeln und zusätzlichen Zeichen). Aus dem Zeitstempel am Anfang der Lognachricht extrahiert. Verschiedene Formate werden vom Parser verarbeitet. Wird anhand der Felder `mnemonic` und `messageToProcess` mit komplexer Logik in der Datei `cisco_wireless.include` bestimmt. Auf „CISCO_WIRELESS“ festgelegt. Verkettung der Felder `facility`, `cisco_severity` und `mnemonic`. Aus der Lognachricht extrahiert, wenn verfügbar. Auf „CISCO_WIRELESS“ festgelegt. Aus dem Feld `version` extrahiert, wenn verfügbar. Auf „CISCO“ festgelegt. Auf „DHCP“ festgelegt, wenn sich das Ereignis auf DHCP bezieht. Für Broadcast-Netzwerkereignisse auf „BROADCAST“ festgelegt. Für UDP-Netzwerkereignisse auf „UDP“ festgelegt. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Je nach Logformat aus den Feldern `wlc_controller` oder `hostname` zugeordnet. Aus der Beschreibung oder `MessageSourceAddress` extrahiert, wenn verfügbar. Je nach Logformat aus den Feldern `wlc_controller` oder `hostname` zugeordnet. Aus der Beschreibung oder `MessageSourceAddress` extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus den Feldern `SourceModuleName` und `SourceModuleType` erstellt, wenn verfügbar. Aus `read_only_udm.principal.user.userid` zugeordnet, wenn die Nutzer-ID wie eine E-Mail-Adresse aussieht. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Wird anhand des Ereignistyps und der Beschreibung bestimmt. Wird anhand des Ereignistyps und der Beschreibung bestimmt. Aus bestimmten Feldern in der Beschreibung erstellt, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Manchmal werden Informationen aus mehreren Feldern kombiniert. Wird anhand des Felds `cisco_severity` und des Ereignistyps bestimmt. Aus dem Feld `read_only_udm.security_result.severity` abgeleitet. Eine kurze Zusammenfassung des Sicherheitsergebnisses, abgeleitet aus der Beschreibung und dem Ereignistyp. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Aus der Beschreibung extrahiert, wenn verfügbar. Für Ereignisse zur Änderung von Einstellungen auf „SETTING“ festgelegt. Aus der Beschreibung extrahiert, wenn verfügbar.
`event_data`	`read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `event_data` zugeordnet.
`event_id`	`read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `event_id` zugeordnet.
`event_ts`	`read_only_udm.metadata.event_timestamp`	Direkt aus dem Feld `event_ts` zugeordnet.
`facility`	`read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `facility` zugeordnet.
`hostname`	`read_only_udm.principal.hostname`	Direkt aus dem Feld `hostname` zugeordnet.
`hostname`	`read_only_udm.target.hostname`	Direkt aus dem Feld `hostname` zugeordnet.
`inter_mac`	`read_only_udm.intermediary.mac`	Direkt aus dem Feld `inter_mac` zugeordnet.
`intermediary_hostname`	`read_only_udm.intermediary.hostname`	Direkt aus dem Feld `intermediary_hostname` zugeordnet.
`kv_data`	`read_only_udm.principal.resource.attribute.labels`	Als Schlüssel/Wert-Paare geparst und zum Ausfüllen von Labels verwendet.
`log_message`	`read_only_udm.security_result.description`	Direkt aus dem Feld `log_message` zugeordnet.
`MessageSourceAddress`	`read_only_udm.principal.asset.ip`	Direkt aus dem Feld `MessageSourceAddress` zugeordnet.
`MessageSourceAddress`	`read_only_udm.principal.ip`	Direkt aus dem Feld `MessageSourceAddress` zugeordnet.
`messageToProcess`	`read_only_udm.metadata.description`	Direkt aus dem Feld `messageToProcess` zugeordnet, nachdem einige Verarbeitungsschritte ausgeführt wurden.
`mnemonic`	`read_only_udm.metadata.event_type`	Wird in Kombination mit anderen Feldern verwendet, um den Ereignistyp zu bestimmen.
`mnemonic`	`read_only_udm.metadata.product_event_type`	Direkt aus dem Feld `mnemonic` zugeordnet.
`severity_data`	`read_only_udm.security_result.severity`	Aus dem Feld `severity_data` zugeordnet, nachdem es in einen Enum-Wert konvertiert wurde.
`SourceModuleName`	`read_only_udm.principal.resource.attribute.labels`	Direkt aus dem Feld `SourceModuleName` zugeordnet.
`SourceModuleType`	`read_only_udm.principal.resource.attribute.labels`	Direkt aus dem Feld `SourceModuleType` zugeordnet.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Direkt aus dem Feld `timestamp` zugeordnet.
`version`	`read_only_udm.metadata.product_version`	Direkt aus dem Feld `version` zugeordnet.
`wlc_controller`	`read_only_udm.principal.hostname`	Direkt aus dem Feld `wlc_controller` zugeordnet.
`wlc_controller`	`read_only_udm.target.hostname`	Direkt aus dem Feld `wlc_controller` zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten