Raccogliere i log IDS di Cyber 2.0

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log IDS di Cyber 2.0 in Google Security Operations utilizzando l'agente Bindplane.

I sistemi di rilevamento delle intrusioni Cyber 2.0 forniscono sicurezza di rete di livello enterprise con funzionalità integrate di rilevamento e prevenzione delle intrusioni. Gli appliance MX utilizzano il motore di rilevamento delle intrusioni Snort per monitorare il traffico di rete alla ricerca di attività dannose e generare avvisi IDS in base all'intelligence per le minacce di Cisco Talos. Gli avvisi IDS vengono generati in due formati: tipi legacy ids-alerts e attuali security_event, con livelli di priorità che vanno da 1 (alta) a 4 (molto bassa) in base alle classificazioni delle firme Snort.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Cyber 2.0 IDS
Se l'esecuzione avviene tramite un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso amministrativo alla dashboard di Cisco Meraki
Cyber 2.0 IDS con licenza Advanced Security Edition (richiesta per le funzionalità IDS/IPS)
Connettività di rete dall'appliance Meraki MX all'host dell'agente Bindplane (porta UDP 514 o porta personalizzata)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane su Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Lo stato del servizio deve essere RUNNING.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Lo stato del servizio deve essere attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviare i log a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/meraki_ids:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBER_2_IDS
        raw_log_field: body
        ingestion_labels:
            vendor: cisco_meraki
            product: mx_security_appliance

service:
    pipelines:
        logs/meraki_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/meraki_ids

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - Il ricevitore è configurato per l'ascolto su tutte le interfacce (0.0.0.0) sulla porta UDP 514 (porta syslog standard).
  - Se la porta 514 è già in uso o devi eseguire l'operazione come utente non root su Linux, cambia la porta in 1514 o in un'altra porta disponibile.
- Configurazione dell'esportatore:
  - <CREDS_FILE_PATH>: Percorso completo del file di autenticazione importazione:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <CUSTOMER_ID>: l'ID cliente copiato dal passaggio precedente
  - endpoint: URL dell'endpoint regionale (l'endpoint predefinito mostrato è quello della regione Stati Uniti):
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per un elenco completo, vedi Endpoint regionali.
  - log_type: impostato su CYBER_2_IDS per gli avvisi IDS di Cisco Meraki.
  - ingestion_labels: etichette facoltative per classificare i log in Google SecOps.

Configurazione di esempio

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/meraki_ids:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CYBER_2_IDS
    raw_log_field: body
    ingestion_labels:
      vendor: cisco_meraki
      product: mx_security_appliance
      environment: production

service:
  pipelines:
    logs/meraki_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/meraki_ids

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla la presenza di errori nei log:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:
1. Scegli una delle seguenti opzioni:
  - Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services:
    1. Premi Win+R, digita services.msc e premi Invio.
    2. Individua observIQ OpenTelemetry Collector.
    3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
2. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
3. Controlla la presenza di errori nei log:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'inoltro di Syslog di Cyber 2.0 IDS

Accedi alla dashboard di Cisco Meraki all'indirizzo https://dashboard.meraki.com.
Seleziona la tua organizzazione dal menu a discesa in alto a sinistra.
Seleziona la rete contenente l'appliance di sicurezza MX dal menu a discesa della rete.
Vai a A livello di rete > Configura > Generale.
Scorri verso il basso fino alla sezione Report.
Nella sezione Server syslog, fai clic su Aggiungi un server syslog.
Configura il server syslog con le seguenti impostazioni:
- IP server: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci 514 (o la porta personalizzata configurata nell'agente Bindplane, se diversa).
- Ruoli: seleziona i seguenti ruoli per inoltrare gli avvisi IDS:
  - Controlla gli avvisi IDS (per gli eventi in formato ids-alerts legacy)
  - Controlla gli eventi di sicurezza (per gli eventi nel formato security_event corrente, inclusi gli avvisi IDS e i rilevamenti di malware AMP)
Fai clic su Salva modifiche nella parte inferiore della pagina.
Verifica che IDS/IPS sia abilitato sul tuo MX Security Appliance:
1. Vai a Sicurezza e SD-WAN > Configura > Protezione dalle minacce.
2. Assicurati che la Modalità sia impostata su Rilevamento (IDS) o Prevenzione (IPS).
3. Seleziona un insieme di regole: Connettività, Bilanciato o Sicurezza, in base ai tuoi requisiti di sicurezza.
4. Fai clic su Salva modifiche.
Genera traffico di test per verificare l'inoltro dei log:
1. Vai a Sicurezza e SD-WAN > Monitora > Centro sicurezza.
2. Verifica che vengano generati avvisi IDS.
3. Controlla i log dell'agente Bindplane per verificare che gli eventi vengano ricevuti e inoltrati a Google SecOps.
Nota: gli avvisi IDS sono disponibili solo con le licenze Advanced Security Edition su IDS Cyber 2.0. La distribuzione degli avvisi avviene in genere entro 90 secondi dal rilevamento dell'evento.
Nota: il ruolo Avvisi IDS inoltra gli eventi in formato precedente con il tipo di evento ids-alerts, mentre il ruolo Eventi di sicurezza inoltra gli eventi nel formato attuale con il tipo di evento security_event. Entrambi i formati contengono informazioni sugli avvisi IDS e sono supportati dal parser CYBER_2_IDS. Ti consigliamo di attivare entrambi i ruoli per acquisire tutti gli eventi correlati a IDS.
Nota: Cisco Meraki syslog utilizza il protocollo UDP per impostazione predefinita. I protocolli TCP e TLS non sono supportati per l'inoltro di syslog dai dispositivi Meraki.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
time1, monthnum+day+time2, time	metadata.event_timestamp	Timestamp in cui si è verificato l'evento
app_version	about.resource.attribute.labels	Elenco di coppie chiave-valore per gli attributi risorsa
prod_event_type	metadata.product_event_type	Tipo di evento specifico per il prodotto
Gruppi	principal.group.group_display_name	Nome visualizzato del gruppo
app_name, app_version, hostname, principal_ip, md5_value	about	Informazioni sull'evento
inter_host	intermediary.hostname	Nome host dell'intermediario
descrizione	metadata.description	Descrizione dell'evento
Protocollo	network.ip_protocol	Protocollo IP utilizzato nella connessione di rete
Direzione	network.direction	Direzione del traffico di rete
Origine	principal.port	Numero di porta del principale
Destinazione	target.port	Numero di porta della destinazione
SourceIP, principal_ip	principal.ip	Indirizzo IP del principale
SourceIP, principal_ip	principal.asset.ip	Indirizzo IP dell'asset del principal
DestinationIP	target.ip	Indirizzo IP della destinazione
DestinationIP	target.asset.ip	Indirizzo IP dell'asset di destinazione
HostName, hostname	principal.hostname	Nome host dell'entità
HostName, hostname	principal.asset.hostname	Nome host dell'asset del principal
ApplicationName	target.application	Nome dell'applicazione di destinazione
Nome utente	principal.user.userid	ID utente dell'entità
FullPath	target.file.full_path	Percorso completo del file
Stato	security_result.action	Azione intrapresa dal sistema di sicurezza
pid	principal.process.pid	ID processo
src_application	principal.application	Nome dell'applicazione del principale
SubSeqNumber, FlowHandle, ClientZValue, MACAddress, State, IsXCast, FlowState, DLLMode	security_result.detection_fields	Campi di rilevamento del risultato di sicurezza
gravità	security_result.severity	Gravità del risultato di sicurezza
DB, NewApps, UniqueApps, Computers, Duration	additional.fields	Campi aggiuntivi
	metadata.event_type	Tipo di evento
	metadata.product_name	Nome del prodotto
	metadata.vendor_name	Nome fornitore

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.