Cyber 2.0-IDS-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cyber 2.0 IDS-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Cyber 2.0 IDSs bieten Netzwerksicherheit auf Unternehmensniveau mit integrierten Funktionen zur Erkennung und Abwehr von Eindringlingen. Die MX-Appliances verwenden die Snort-Engine zur Intrusion Detection, um den Netzwerkverkehr auf schädliche Aktivitäten zu überwachen und IDS-Warnungen basierend auf Bedrohungsinformationen von Cisco Talos zu generieren. IDS-Benachrichtigungen werden in zwei Formaten generiert: dem alten ids-alerts-Typ und dem aktuellen security_event-Typ. Die Prioritätsstufen reichen von 1 (hoch) bis 4 (sehr niedrig) und basieren auf Snort-Signaturklassifizierungen.

Hinweise

Folgende Voraussetzungen müssen erfüllt sein:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und Cyber 2.0 IDS
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Administratorzugriff auf das Cisco Meraki-Dashboard
Cyber 2.0 IDS mit Advanced Security Edition-Lizenzierung (für IDS/IPS-Funktionen erforderlich)
Netzwerkverbindung von der Meraki MX-Appliance zum Bindplane-Agent-Host (UDP-Port 514 oder benutzerdefinierter Port)

Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienststatus sollte RUNNING lauten.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienststatus sollte active (running) lauten.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten zum Erfassen von Syslog und Senden von Logs an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/meraki_ids:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBER_2_IDS
        raw_log_field: body
        ingestion_labels:
            vendor: cisco_meraki
            product: mx_security_appliance

service:
    pipelines:
        logs/meraki_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/meraki_ids

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - Der Empfänger ist so konfiguriert, dass er alle Schnittstellen (0.0.0.0) auf dem UDP-Port 514 (Standard-Syslog-Port) überwacht.
  - Wenn Port 514 bereits verwendet wird oder Sie die Ausführung als Nicht-Root-Nutzer unter Linux benötigen, ändern Sie den Port in 1514 oder einen anderen verfügbaren Port.
- Exporter-Konfiguration:
  - <CREDS_FILE_PATH>: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <CUSTOMER_ID>: Die Kunden-ID, die Sie im vorherigen Schritt kopiert haben
  - endpoint: Regionale Endpunkt-URL (die Standardeinstellung ist die US-Region):
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
  - log_type: Auf CYBER_2_IDS für Cisco Meraki IDS-Benachrichtigungen festlegen.
  - ingestion_labels: Optionale Labels zum Kategorisieren von Logs in Google SecOps.

Konfigurationsbeispiel

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/meraki_ids:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CYBER_2_IDS
    raw_log_field: body
    ingestion_labels:
      vendor: cisco_meraki
      product: mx_security_appliance
      environment: production

service:
  pipelines:
    logs/meraki_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/meraki_ids

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:
1. Führen Sie dazu diesen Befehl aus:
```
sudo systemctl restart observiq-otel-collector
```
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
So starten Sie den Bindplane-Agent unter Windows neu:
1. Wählen Sie eine der folgenden Optionen aus:
  - Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Services-Konsole:
    1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
    2. Suchen Sie nach observIQ OpenTelemetry Collector.
    3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für Cyber 2.0 IDS konfigurieren

Melden Sie sich im Cisco Meraki-Dashboard unter https://dashboard.meraki.com an.
Wählen Sie Ihre Organisation oben links im Drop-down-Menü „Organisation“ aus.
Wählen Sie im Drop-down-Menü das Netzwerk aus, das Ihre MX Security Appliance enthält.
Gehen Sie zu Netzwerkweit > Konfigurieren > Allgemein.
Scrollen Sie nach unten zum Abschnitt Berichte.
Klicken Sie unter Syslog-Server auf Syslog-Server hinzufügen.
Konfigurieren Sie den Syslog-Server mit den folgenden Einstellungen:
- Server-IP: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
- Port: Geben Sie 514 ein (oder den benutzerdefinierten Port, der im Bindplane-Agent konfiguriert ist, falls er sich unterscheidet).
- Rollen: Wählen Sie die folgenden Rollen aus, um IDS-Benachrichtigungen weiterzuleiten:
  - IDS-Benachrichtigungen prüfen (für Ereignisse im alten ids-alerts-Format)
  - Sicherheitsereignisse prüfen (für aktuelle Ereignisse im security_event-Format, einschließlich IDS-Benachrichtigungen und AMP-Malware-Erkennungen)
Klicken Sie unten auf der Seite auf Änderungen speichern.
Prüfen Sie, ob IDS/IPS auf Ihrer MX-Sicherheitsappliance aktiviert ist:
1. Gehen Sie zu Security & SD-WAN > Configure > Threat protection (Sicherheit & SD-WAN > Konfigurieren > Schutz vor Bedrohungen).
2. Achten Sie darauf, dass Modus auf Erkennung (IDS) oder Prävention (IPS) eingestellt ist.
3. Wählen Sie entsprechend Ihren Sicherheitsanforderungen ein Regelsatz aus: Connectivity (Konnektivität), Balanced (Ausgewogen) oder Security (Sicherheit).
4. Klicken Sie auf Änderungen speichern.
Generieren Sie Test-Traffic, um die Logweiterleitung zu überprüfen:
1. Rufen Sie Security & SD-WAN> „Monitor“> „Security Center“ auf.
2. Prüfen Sie, ob IDS-Benachrichtigungen generiert werden.
3. Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass Ereignisse empfangen und an Google SecOps weitergeleitet werden.
Hinweis :IDS-Benachrichtigungen sind nur mit Advanced Security Edition-Lizenzen für Cyber 2.0-IDSs verfügbar. Die Zustellung von Benachrichtigungen erfolgt in der Regel innerhalb von 90 Sekunden nach der Ereigniserkennung.
Hinweis :Mit der Rolle IDS-Benachrichtigungen werden Ereignisse im alten Format mit dem Ereignistyp ids-alerts weitergeleitet, während mit der Rolle Sicherheitsereignisse Ereignisse im aktuellen Format mit dem Ereignistyp security_event weitergeleitet werden. Beide Formate enthalten IDS-Warnungsinformationen und werden vom CYBER_2_IDS-Parser unterstützt. Es wird empfohlen, beide Rollen zu aktivieren, um alle IDS-bezogenen Ereignisse zu erfassen.
Hinweis :Cisco Meraki-Syslog verwendet standardmäßig das UDP-Protokoll. Die Protokolle TCP und TLS werden für die Syslog-Weiterleitung von Meraki-Geräten nicht unterstützt.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
time1, monthnum+day+time2, time	metadata.event_timestamp	Zeitstempel des Ereignisses
app_version	about.resource.attribute.labels	Liste der Schlüssel/Wert-Paare für Ressourcenattribute
prod_event_type	metadata.product_event_type	Produktspezifischer Ereignistyp
Gruppen	principal.group.group_display_name	Anzeigename der Gruppe
app_name, app_version, hostname, principal_ip, md5_value	about	Informationen zum Ereignis
inter_host	intermediary.hostname	Hostname des Vermittlers
Beschreibung	metadata.description	Eine Beschreibung des Ereignisses
Protokoll	network.ip_protocol	In der Netzwerkverbindung verwendetes IP-Protokoll
Richtung	network.direction	Richtung des Netzwerkverkehrs
Quelle	principal.port	Portnummer des Prinzipal
Ziel	target.port	Portnummer des Ziels
SourceIP, principal_ip	principal.ip	IP-Adresse des Auftraggebers
SourceIP, principal_ip	principal.asset.ip	IP-Adresse des Assets des Hauptkontoinhabers
DestinationIP	target.ip	IP-Adresse des Ziels
DestinationIP	target.asset.ip	IP-Adresse des Assets des Ziels
HostName, hostname	principal.hostname	Hostname des Prinzipal
HostName, hostname	principal.asset.hostname	Hostname des Assets des Auftraggebers
ApplicationName	target.application	Anwendungsname des Ziels
Nutzername	principal.user.userid	Nutzer-ID des Prinzipal
FullPath	target.file.full_path	Vollständiger Pfad der Datei
Status	security_result.action	Vom Sicherheitssystem ergriffene Maßnahmen
pid	principal.process.pid	Prozess-ID
src_application	principal.application	Anwendungsname des Principals
SubSeqNumber, FlowHandle, ClientZValue, MACAddress, State, IsXCast, FlowState, DLLMode	security_result.detection_fields	Erkennungsfelder aus dem Sicherheitsergebnis
die Ausprägung	security_result.severity	Schweregrad des Sicherheitsergebnisses
DB, NewApps, UniqueApps, Computers, Duration	additional.fields	Zusätzliche Felder
	metadata.event_type	Ereignistyp
	metadata.product_name	Produktname
	metadata.vendor_name	Anbietername

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten