Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do controlador de LAN sem fio (WLC) da Cisco

Com suporte em:

Google SecOps SIEM

Este documento explica como ingerir registros do controlador de LAN sem fio (WLC) da Cisco no Google Security Operations usando o agente do Bindplane.

O analisador extrai campos de mensagens do Syslog do WLC da Cisco usando padrões grok, processando vários formatos de registro, incluindo DHCP, autenticação e eventos de rede. Ele mapeia os campos extraídos para o modelo de dados unificado (UDM) e determina o tipo de evento com base no mnemonic e no conteúdo da mensagem.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o WLC da Cisco
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane
Acesso privilegiado ao WLC da Cisco

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

**Observação** :esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID de cliente da seção Detalhes da organização.

**Observação**: o ID de cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço será mostrado como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço será mostrado como ativo (em execução).

Recursos de instalação adicionais

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_wireless:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_WIRELESS
        raw_log_field: body

service:
    pipelines:
        logs/cisco_wireless_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_wireless

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor :
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do Syslog (requer raiz no Linux; use 1514 para não raiz)
Configuração do exportador :
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte Endpoints regionais para a lista completa

Salvar o arquivo de configuração

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, depois Enter e Ctrl+X
- Windows: clique em Arquivo > Salvar

Reiniciar o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute este comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está sendo executado:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Para reiniciar o agente do Bindplane no Windows, escolha uma destas opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o observIQ OpenTelemetry Collector.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está sendo executado:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o Syslog no WLC da Cisco

Faça login na UI da Web do WLC.
Acesse Gerenciamento > Registros > Configuração.
Insira o endereço IP do agente do Bindplane no campo Endereço IP do servidor Syslog.
Clique em Adicionar.
Forneça os seguintes detalhes de configuração:
- Gravidade do Syslog: selecione Informativo.
- Instalação do Syslog: selecione Uso local 0.
Clique em Aplicar.
Clique em Save Configuration.

**Observação**: as mensagens do Syslog são enviadas pelo transporte **UDP** usando a porta **514**.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`action_data`	`read_only_udm.security_result.action_details`	Mapeado diretamente do campo `action_data`.
`data`	`read_only_udm.metadata.description`	Mapeado diretamente do campo `data` após algum processamento (por exemplo, remoção de carimbos de data/hora, caracteres extras). Extraído do carimbo de data/hora no início da mensagem de registro. Vários formatos são processados pelo analisador. Determinado com base nos campos `mnemonic` e `messageToProcess` usando uma lógica complexa no arquivo `cisco_wireless.include`. Definido como "CISCO_WIRELESS". Concatenação dos campos `facility`, `cisco_severity` e `mnemonic`. Extraído da mensagem de registro quando disponível. Definido como "CISCO_WIRELESS". Extraído do campo `version` quando disponível. Definido como "CISCO". Definido como "DHCP" quando o evento está relacionado ao DHCP. Definido como "BROADCAST" para eventos de rede de transmissão. Definido como "UDP" para eventos de rede UDP. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Mapeado dos campos `wlc_controller` ou `hostname`, dependendo do formato do registro. Extraído da descrição ou `MessageSourceAddress` quando disponível. Mapeado dos campos `wlc_controller` ou `hostname`, dependendo do formato do registro. Extraído da descrição ou `MessageSourceAddress` quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Criado nos campos `SourceModuleName` e `SourceModuleType` quando disponível. Mapeado de `read_only_udm.principal.user.userid` quando o ID de usuário parece um endereço de e-mail. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Determinado com base no tipo de evento e na descrição. Determinado com base no tipo de evento e na descrição. Criado em campos específicos na descrição quando disponível. Extraído da descrição quando disponível. Às vezes, combina informações de vários campos. Determinado com base no campo `cisco_severity` e no tipo de evento. Derivado do campo `read_only_udm.security_result.severity`. Um resumo conciso do resultado de segurança, derivado da descrição e do tipo de evento. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Extraído da descrição quando disponível. Definido como "SETTING" para eventos de modificação de configuração. Extraído da descrição quando disponível.
`event_data`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `event_data`.
`event_id`	`read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `event_id`.
`event_ts`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `event_ts`.
`facility`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `facility`.
`hostname`	`read_only_udm.principal.hostname`	Mapeado diretamente do campo `hostname`.
`hostname`	`read_only_udm.target.hostname`	Mapeado diretamente do campo `hostname`.
`inter_mac`	`read_only_udm.intermediary.mac`	Mapeado diretamente do campo `inter_mac`.
`intermediary_hostname`	`read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `intermediary_hostname`.
`kv_data`	`read_only_udm.principal.resource.attribute.labels`	Analisado como pares de chave-valor e usado para preencher rótulos.
`log_message`	`read_only_udm.security_result.description`	Mapeado diretamente do campo `log_message`.
`MessageSourceAddress`	`read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `MessageSourceAddress`.
`MessageSourceAddress`	`read_only_udm.principal.ip`	Mapeado diretamente do campo `MessageSourceAddress`.
`messageToProcess`	`read_only_udm.metadata.description`	Mapeado diretamente do campo `messageToProcess` após algum processamento.
`mnemonic`	`read_only_udm.metadata.event_type`	Usado em conjunto com outros campos para determinar o tipo de evento.
`mnemonic`	`read_only_udm.metadata.product_event_type`	Mapeado diretamente do campo `mnemonic`.
`severity_data`	`read_only_udm.security_result.severity`	Mapeado do campo `severity_data` após a conversão para um valor de enumeração.
`SourceModuleName`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente do campo `SourceModuleName`.
`SourceModuleType`	`read_only_udm.principal.resource.attribute.labels`	Mapeado diretamente do campo `SourceModuleType`.
`timestamp`	`read_only_udm.metadata.event_timestamp`	Mapeado diretamente do campo `timestamp`.
`version`	`read_only_udm.metadata.product_version`	Mapeado diretamente do campo `version`.
`wlc_controller`	`read_only_udm.principal.hostname`	Mapeado diretamente do campo `wlc_controller`.
`wlc_controller`	`read_only_udm.target.hostname`	Mapeado diretamente do campo `wlc_controller`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.