Collecter les journaux d'IDS'intrusion Cyber 2.0

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux IDS Cyber 2.0 dans Google Security Operations à l'aide de l'agent Bindplane.

Les IDS Cyber 2.0 offrent une sécurité réseau de niveau entreprise avec des fonctionnalités intégrées de détection et de prévention des intrusions. Les appliances MX utilisent le moteur de détection des intrusions Snort pour surveiller le trafic réseau à la recherche d'activités malveillantes et générer des alertes IDS basées sur les renseignements sur les menaces de Cisco Talos. Les alertes d'IDS#39;intrusion sont générées dans deux formats : l'ancien format ids-alerts et le format actuel security_event. Elles sont associées à des niveaux de priorité allant de 1 (élevée) à 4 (très faible) en fonction des classifications des signatures Snort.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et IDS Cyber 2.0
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès administrateur au tableau de bord Cisco Meraki
IDS Cyber 2.0 avec licence Advanced Security Edition (requise pour les fonctionnalités IDS/IPS)
Connectivité réseau entre le dispositif Meraki MX et l'hôte de l'agent Bindplane (port UDP 514 ou port personnalisé)

Obtenir le fichier d'authentification pour l'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et envoyer des journaux à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/meraki_ids:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBER_2_IDS
        raw_log_field: body
        ingestion_labels:
            vendor: cisco_meraki
            product: mx_security_appliance

service:
    pipelines:
        logs/meraki_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/meraki_ids

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - Le récepteur est configuré pour écouter sur toutes les interfaces (0.0.0.0) sur le port UDP 514 (port syslog standard).
  - Si le port 514 est déjà utilisé ou si vous devez exécuter le processus en tant qu'utilisateur non root sur Linux, remplacez le port par 1514 ou un autre port disponible.
- Configuration de l'exportateur :
  - <CREDS_FILE_PATH> : chemin d'accès complet au fichier d'authentification de l'ingestion :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <CUSTOMER_ID> : ID client copié à l'étape précédente
  - endpoint : URL du point de terminaison régional (l'URL par défaut affichée correspond à la région des États-Unis) :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
  - log_type : définissez la valeur sur CYBER_2_IDS pour les alertes Cisco Meraki IDS.
  - ingestion_labels : libellés facultatifs permettant de catégoriser les journaux dans Google SecOps.

Exemple de configuration

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/meraki_ids:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CYBER_2_IDS
    raw_log_field: body
    ingestion_labels:
      vendor: cisco_meraki
      product: mx_security_appliance
      environment: production

service:
  pipelines:
    logs/meraki_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/meraki_ids

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux :
1. Exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
2. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows :
1. Choisissez l'une des options suivantes :
  - Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services :
    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez observIQ OpenTelemetry Collector.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.
2. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog de Cyber 2.0 IDS

Connectez-vous au tableau de bord Cisco Meraki à l'adresse https://dashboard.meraki.com.
Sélectionnez votre organisation dans le menu déroulant en haut à gauche.
Sélectionnez le réseau contenant votre appliance de sécurité MX dans le menu déroulant des réseaux.
Accédez à Au niveau du réseau > Configurer > Général.
Faites défiler la page jusqu'à la section Reporting.
Sous Serveurs Syslog, cliquez sur Ajouter un serveur Syslog.
Configurez le serveur syslog avec les paramètres suivants :
- Adresse IP du serveur : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- Port : saisissez 514 (ou le port personnalisé configuré dans l'agent Bindplane, le cas échéant).
- Rôles : sélectionnez les rôles suivants pour transférer les alertes IDS :
  - Consultez les alertes du système de détection d'intrusion (pour les événements au format ids-alerts obsolète).
  - Consultez Événements de sécurité (pour les événements au format security_event actuel, y compris les alertes IDS et les détections de logiciels malveillants AMP).
Cliquez sur Enregistrer les modifications en bas de la page.
Vérifiez que l'IDS/IPS est activé sur votre appliance de sécurité MX :
1. Accédez à Sécurité et SD-WAN> Configurer> Protection contre les menaces.
2. Assurez-vous que le Mode est défini sur Détection (IDS) ou Prévention (IPS).
3. Sélectionnez un ensemble de règles : Connectivité, Équilibré ou Sécurité, en fonction de vos exigences de sécurité.
4. Cliquez sur Enregistrer les modifications.
Générez du trafic de test pour vérifier le transfert de journaux :
1. Accédez à Sécurité et SD-WAN> Surveiller> Centre de sécurité.
2. Vérifiez que des alertes IDS sont générées.
3. Consultez les journaux de l'agent Bindplane pour vérifier que les événements sont bien reçus et transférés vers Google SecOps.
Remarque : Les alertes IDS ne sont disponibles qu'avec la licence Advanced Security Edition sur les IDS Cyber 2.0. La diffusion des alertes a généralement lieu dans les 90 secondes suivant la détection de l'événement.
Remarque : Le rôle Alertes IDS transfère les événements au format ancien avec le type d'événement ids-alerts, tandis que le rôle Événements de sécurité transfère les événements au format actuel avec le type d'événement security_event. Les deux formats contiennent des informations sur les alertes IDS et sont compatibles avec l'analyseur CYBER_2_IDS. Nous vous recommandons d'activer les deux rôles pour capturer tous les événements liés IDS d'intrusion.
Remarque : Le syslog Cisco Meraki utilise le protocole UDP par défaut. Les protocoles TCP et TLS ne sont pas compatibles avec le transfert syslog depuis les appareils Meraki.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
time1, monthnum+day+time2, time	metadata.event_timestamp	Code temporel de l'événement
app_version	about.resource.attribute.labels	Liste des paires clé-valeur pour les attributs de ressource
prod_event_type	metadata.product_event_type	Type d'événement spécifique au produit
Groupes	principal.group.group_display_name	Nom à afficher du groupe
app_name, app_version, hostname, principal_ip, md5_value	à propos de	Informations sur l'événement
inter_host	intermediary.hostname	Nom d'hôte de l'intermédiaire
description	metadata.description	Description de l'événement
Protocole	network.ip_protocol	Protocole IP utilisé dans la connexion réseau
Direction	network.direction	Sens du trafic réseau
Source	principal.port	Numéro de port du principal
Destination	target.port	Numéro de port de la cible
sourceIP, principal_ip	principal.ip	Adresse IP du principal
sourceIP, principal_ip	principal.asset.ip	Adresse IP de l'élément du mandant
DestinationIP	target.ip	Adresse IP de la cible
DestinationIP	target.asset.ip	Adresse IP de l'élément de la cible
HostName, hostname	principal.hostname	Nom d'hôte du compte principal
HostName, hostname	principal.asset.hostname	Nom d'hôte de l'élément du principal
ApplicationName	target.application	Nom de l'application de la cible
Nom d'utilisateur	principal.user.userid	ID utilisateur du principal
FullPath	target.file.full_path	Chemin d'accès complet au fichier
État	security_result.action	Action effectuée par le système de sécurité
pid	principal.process.pid	ID du processus
src_application	principal.application	Nom de l'application du principal
SubSeqNumber, FlowHandle, ClientZValue, MACAddress, State, IsXCast, FlowState, DLLMode	security_result.detection_fields	Champs de détection du résultat de sécurité
de gravité,	security_result.severity	Gravité du résultat de sécurité
DB, NewApps, UniqueApps, Computers, Duration	additional.fields	Champs supplémentaires
	metadata.event_type	Type d'événement
	metadata.product_name	Nom du produit
	metadata.vendor_name	Nom du fournisseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.