Cyber 2.0 IDS ログを収集する
このドキュメントでは、Bindplane エージェントを使用して Cyber 2.0 IDS ログを Google Security Operations に取り込む方法について説明します。
Cyber 2.0 IDS は、侵入検出と防御の機能を統合したエンタープライズ グレードのネットワーク セキュリティを提供します。MX アプライアンスは、Snort 侵入検知エンジンを使用してネットワーク トラフィックで不正なアクティビティを監視し、Cisco Talos の脅威インテリジェンスに基づいて IDS アラートを生成します。IDS アラートは、従来の ids-alerts タイプと現在の security_event タイプの 2 つの形式で生成されます。優先度レベルは、Snort シグネチャの分類に基づいて 1(高)から 4(非常に低い)の範囲で設定されます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Cyber 2.0 IDS 間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Cisco Meraki ダッシュボードに対する管理者権限
- Cyber 2.0 IDS と Advanced Security Edition のライセンス(IDS/IPS 機能に必要)
- Meraki MX アプライアンスから Bindplane エージェント ホストへのネットワーク接続(UDP ポート 514 またはカスタム ポート)
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービス ステータスは RUNNING になります。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスのステータスが [active (running)] になります。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps にログを送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_ids各プレースホルダを次のように置き換えます。
レシーバーの構成:
- 受信側は、UDP ポート
514(標準の syslog ポート)のすべてのインターフェース(0.0.0.0)でリッスンするように構成されています。 - ポート 514 がすでに使用されている場合や、Linux で非 root として実行する必要がある場合は、ポートを
1514または別の使用可能なポートに変更します。
- 受信側は、UDP ポート
エクスポータの構成:
<CREDS_FILE_PATH>: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: 前のステップでコピーした顧客 IDendpoint: リージョン エンドポイント URL(デフォルトは米国リージョン):- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Cisco Meraki IDS アラートの場合はCYBER_2_IDSに設定します。ingestion_labels: Google SecOps でログを分類するための省略可能なラベル。
構成の例
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance environment: production service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_ids
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cyber 2.0 IDS syslog 転送を構成する
- https://dashboard.meraki.com で Cisco Meraki ダッシュボードにログインします。
- 左上の組織プルダウン メニューから組織を選択します。
- ネットワーク プルダウン メニューから、MX セキュリティ アプライアンスを含むネットワークを選択します。
- [ネットワーク全体] > [構成] > [全般] に移動します。
- [レポート] セクションまで下にスクロールします。
- [Syslog サーバー] で、[Syslog サーバーを追加] をクリックします。
- syslog サーバーを次の設定で構成します。
- サーバー IP: Bindplane エージェント ホストの IP アドレス(
192.168.1.100など)を入力します。 - ポート:
514(または、Bindplane エージェントで構成されたカスタムポート(異なる場合))を入力します。 - ロール: IDS アラートを転送する次のロールを選択します。
- IDS アラートを確認する(以前の
ids-alerts形式のイベントの場合) - セキュリティ イベント(現在の
security_event形式のイベント(IDS アラートや AMP マルウェア検出など)の場合)を確認します。
- IDS アラートを確認する(以前の
- サーバー IP: Bindplane エージェント ホストの IP アドレス(
- ページの下部にある [変更を保存] をクリックします。
- MX セキュリティ アプライアンスで IDS/IPS が有効になっていることを確認します。
- [Security & SD-WAN]> [Configure] > [Threat protection] に移動します。
- [モード] が [検出](IDS)または [防止](IPS)に設定されていることを確認します。
- セキュリティ要件に基づいて、ルールセット([Connectivity]、[Balanced]、[Security])を選択します。
- [変更を保存] をクリックします。
テスト トラフィックを生成して、ログ転送を確認します。
- [Security & SD-WAN]> [Monitor] > [Security center] に移動します。
- IDS アラートが生成されていることを確認します。
- Bindplane エージェントのログを調べて、イベントが受信され、Google SecOps に転送されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| time1、monthnum+day+time2、time | metadata.event_timestamp | イベントが発生したときのタイムスタンプ |
| app_version | about.resource.attribute.labels | リソース属性の Key-Value ペアのリスト |
| prod_event_type | metadata.product_event_type | プロダクト固有のイベントタイプ |
| グループ | principal.group.group_display_name | グループの表示名 |
| app_name、app_version、hostname、principal_ip、md5_value | about | イベントに関する情報 |
| inter_host | intermediary.hostname | 仲介者のホスト名 |
| 説明 | metadata.description | イベントの説明 |
| プロトコル | network.ip_protocol | ネットワーク接続で使用される IP プロトコル |
| 方向 | network.direction | ネットワーク トラフィックの方向 |
| ソース | principal.port | プリンシパルのポート番号 |
| 目的地 | target.port | ターゲットのポート番号 |
| SourceIP、principal_ip | principal.ip | プリンシパルの IP アドレス |
| SourceIP、principal_ip | principal.asset.ip | プリンシパルのアセットの IP アドレス |
| DestinationIP | target.ip | ターゲットの IP アドレス |
| DestinationIP | target.asset.ip | ターゲットのアセットの IP アドレス |
| HostName、hostname | principal.hostname | プリンシパルのホスト名 |
| HostName、hostname | principal.asset.hostname | プリンシパルのアセットのホスト名 |
| ApplicationName | target.application | ターゲットのアプリケーション名 |
| ユーザー名 | principal.user.userid | プリンシパルのユーザー ID |
| FullPath | target.file.full_path | ファイルのフルパス |
| ステータス | security_result.action | セキュリティ システムによって実行されたアクション |
| pid | principal.process.pid | プロセス ID |
| src_application | principal.application | プリンシパルのアプリケーション名 |
| SubSeqNumber、FlowHandle、ClientZValue、MACAddress、State、IsXCast、FlowState、DLLMode | security_result.detection_fields | セキュリティ結果の検出フィールド |
| 重要度 | security_result.severity | セキュリティ結果の重大度 |
| DB、NewApps、UniqueApps、Computers、Duration | additional.fields | その他のフィールド |
| metadata.event_type | イベントのタイプ | |
| metadata.product_name | 商品名 | |
| metadata.vendor_name | ベンダー名 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。