Mengumpulkan log IDS Cyber 2.0
Dokumen ini menjelaskan cara menyerap log IDS Cyber 2.0 ke Google Security Operations menggunakan agen Bindplane.
IDS Cyber 2.0 menyediakan keamanan jaringan tingkat perusahaan dengan kemampuan deteksi dan pencegahan intrusi terintegrasi. Perangkat MX menggunakan mesin deteksi intrusi Snort untuk memantau traffic jaringan dari aktivitas berbahaya dan membuat pemberitahuan IDS berdasarkan threat intelligence dari Cisco Talos. Peringatan IDS dibuat dalam dua format: jenis ids-alerts lama dan security_event saat ini, dengan tingkat prioritas mulai dari 1 (tinggi) hingga 4 (sangat rendah) berdasarkan klasifikasi tanda tangan Snort.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan Cyber 2.0 IDS
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses administratif ke Dasbor Cisco Meraki
- Cyber 2.0 IDS dengan lisensi Advanced Security Edition (diperlukan untuk fitur IDS/IPS)
- Konektivitas jaringan dari perangkat Meraki MX ke host agen Bindplane (port UDP 514 atau port kustom)
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorStatus layanan harus RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorStatus layanan harus aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirim log ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_idsGanti placeholder berikut:
Konfigurasi penerima:
- Penerima dikonfigurasi untuk memproses semua antarmuka (
0.0.0.0) di port UDP514(port syslog standar) - Jika port 514 sudah digunakan atau Anda perlu menjalankan sebagai non-root di Linux, ubah port ke
1514atau port lain yang tersedia
- Penerima dikonfigurasi untuk memproses semua antarmuka (
Konfigurasi pengekspor:
<CREDS_FILE_PATH>: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID Pelanggan yang disalin dari langkah sebelumnyaendpoint: URL endpoint regional (default yang ditampilkan adalah region AS):- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
log_type: Setel keCYBER_2_IDSuntuk pemberitahuan IDS Cisco Meraki.ingestion_labels: Label opsional untuk mengategorikan log di Google SecOps.
Contoh konfigurasi
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance environment: production service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_ids
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog Cyber 2.0 IDS
- Login ke Dasbor Cisco Meraki di https://dashboard.meraki.com.
- Pilih organisasi Anda dari menu dropdown organisasi di kiri atas.
- Pilih jaringan yang berisi MX Security Appliance Anda dari menu dropdown jaringan.
- Buka Di seluruh jaringan > Konfigurasi > Umum.
- Scroll ke bawah ke bagian Pelaporan.
- Di bagian Server syslog, klik Tambahkan server syslog.
- Konfigurasi server syslog dengan setelan berikut:
- IP Server: Masukkan alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan
514(atau port kustom yang dikonfigurasi di agen Bindplane jika berbeda). - Peran: Pilih peran berikut untuk meneruskan pemberitahuan IDS:
- Periksa notifikasi IDS (untuk peristiwa format
ids-alertslama) - Periksa Peristiwa keamanan (untuk peristiwa format
security_eventsaat ini, termasuk pemberitahuan IDS dan deteksi malware AMP)
- Periksa notifikasi IDS (untuk peristiwa format
- IP Server: Masukkan alamat IP host agen Bindplane (misalnya,
- Klik Simpan perubahan di bagian bawah halaman.
- Pastikan IDS/IPS diaktifkan di MX Security Appliance Anda:
- Buka Security & SD-WAN > Configure > Threat protection.
- Pastikan Mode disetel ke Deteksi (IDS) atau Pencegahan (IPS).
- Pilih kumpulan aturan: Konektivitas, Seimbang, atau Keamanan, berdasarkan persyaratan keamanan Anda.
- Klik Simpan perubahan.
Buat traffic pengujian untuk memverifikasi penerusan log:
- Buka Security & SD-WAN > Monitor > Security center.
- Pastikan pemberitahuan IDS sedang dibuat.
- Periksa log agen Bindplane untuk mengonfirmasi bahwa peristiwa diterima dan diteruskan ke Google SecOps.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| time1, monthnum+day+time2, time | metadata.event_timestamp | Stempel waktu saat peristiwa terjadi |
| app_version | about.resource.attribute.labels | Daftar pasangan nilai kunci untuk atribut resource |
| prod_event_type | metadata.product_event_type | Jenis acara khusus produk |
| Grup | principal.group.group_display_name | Nama tampilan grup |
| app_name, app_version, hostname, principal_ip, md5_value | tentang | Informasi tentang acara |
| inter_host | intermediary.hostname | Nama host perantara |
| deskripsi | metadata.description | Deskripsi peristiwa |
| Protokol | network.ip_protocol | Protokol IP yang digunakan dalam koneksi jaringan |
| Arah | network.direction | Arah traffic jaringan |
| Sumber | principal.port | Nomor port kepala sekolah |
| Tujuan | target.port | Nomor port target |
| SourceIP, principal_ip | principal.ip | Alamat IP kepala sekolah |
| SourceIP, principal_ip | principal.asset.ip | Alamat IP aset prinsipal |
| DestinationIP | target.ip | Alamat IP target |
| DestinationIP | target.asset.ip | Alamat IP aset target |
| HostName, hostname | principal.hostname | Nama host prinsipal |
| HostName, hostname | principal.asset.hostname | Nama host aset prinsipal |
| ApplicationName | target.application | Nama aplikasi target |
| NamaPengguna | principal.user.userid | ID pengguna prinsipal |
| FullPath | target.file.full_path | Jalur lengkap file |
| Status | security_result.action | Tindakan yang dilakukan oleh sistem keamanan |
| pid | principal.process.pid | ID proses |
| src_application | principal.application | Nama aplikasi principal |
| SubSeqNumber, FlowHandle, ClientZValue, MACAddress, State, IsXCast, FlowState, DLLMode | security_result.detection_fields | Kolom deteksi dari hasil keamanan |
| tingkat keseriusan, | security_result.severity | Tingkat keparahan hasil keamanan |
| DB, NewApps, UniqueApps, Komputer, Durasi | additional.fields | Kolom tambahan |
| metadata.event_type | Jenis acara | |
| metadata.product_name | Nama produk | |
| metadata.vendor_name | Nama vendor |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.