Coletar registros do SDI do Cyber 2.0

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do SDI do Cyber 2.0 no Google Security Operations usando o agente do Bindplane.

Os IDSs do Cyber 2.0 oferecem segurança de rede de nível empresarial com recursos integrados de detecção e prevenção de intrusões. Os appliances MX usam o mecanismo de detecção de intrusões Snort para monitorar o tráfego de rede em busca de atividades maliciosas e gerar alertas SDI com base na inteligência contra ameaças da Cisco Talos. Os alertas do SDI são gerados em dois formatos: ids-alerts legado e security_event atual, com níveis de prioridade que variam de 1 (alta) a 4 (muito baixa) com base nas classificações de assinatura do Snort.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e SDI do Cyber 2.0
Se você estiver executando um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
Acesso administrativo ao painel do Cisco Meraki
SDI Cyber 2.0 com licenciamento da Advanced Security Edition (necessário para recursos do SDI/IPS)
Conectividade de rede do dispositivo Meraki MX ao host do agente Bindplane (porta UDP 514 ou porta personalizada)

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O status do serviço deve ser EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O status do serviço precisa ser active (running).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar registros ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/meraki_ids:
        compression: gzip
        creds_file_path: '<CREDS_FILE_PATH>'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CYBER_2_IDS
        raw_log_field: body
        ingestion_labels:
            vendor: cisco_meraki
            product: mx_security_appliance

service:
    pipelines:
        logs/meraki_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/meraki_ids

Substitua os seguintes marcadores de posição:
- Configuração do receptor:
  - O receptor é configurado para detectar todas as interfaces (0.0.0.0) na porta UDP 514 (porta syslog padrão).
  - Se a porta 514 já estiver em uso ou se você precisar executar como não root no Linux, mude a porta para 1514 ou outra disponível.
- Configuração do exportador:
  - <CREDS_FILE_PATH>: caminho completo para o arquivo de autenticação de ingestão:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <CUSTOMER_ID>: ID do cliente copiado da etapa anterior
  - endpoint: URL do endpoint regional (o padrão mostrado é a região dos EUA):
    - EUA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulte a lista completa em Endpoints regionais.
  - log_type: definido como CYBER_2_IDS para alertas de IDS da Cisco Meraki.
  - ingestion_labels: rótulos opcionais para categorizar registros no Google SecOps.

Exemplo de configuração

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/meraki_ids:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CYBER_2_IDS
    raw_log_field: body
    ingestion_labels:
      vendor: cisco_meraki
      product: mx_security_appliance
      environment: production

service:
  pipelines:
    logs/meraki_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/meraki_ids

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux:

Execute este comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Para reiniciar o agente do Bindplane em Windows:
1. Escolha uma das seguintes opções:
  - Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console de serviços:
    1. Pressione Win+R, digite services.msc e pressione Enter.
    2. Localize o Coletor do OpenTelemetry da observIQ.
    3. Clique com o botão direito do mouse e selecione Reiniciar.
2. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
3. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog do SDI Cyber 2.0

Faça login no painel do Cisco Meraki em https://dashboard.meraki.com.
Selecione sua organização no menu suspenso no canto superior esquerdo.
Selecione a rede que contém seu dispositivo de segurança MX no menu suspenso de rede.
Acesse Em toda a rede > Configurar > Geral.
Role a tela para baixo até a seção Relatórios.
Em Servidores Syslog, clique em Adicionar um servidor Syslog.
Configure o servidor syslog com as seguintes configurações:
- IP do servidor: insira o endereço IP do host do agente do Bindplane (por exemplo, 192.168.1.100).
- Porta: digite 514 (ou a porta personalizada configurada no agente do Bindplane, se for diferente).
- Funções: selecione as seguintes funções para encaminhar alertas do SDI:
  - Verifique os alertas de IDS (para eventos no formato ids-alerts legados).
  - Verifique Eventos de segurança (para eventos no formato security_event atual, incluindo alertas SDI e detecções de malware do AMP)
Clique em Salvar alterações na parte de baixo da página.
Verifique se SDI/IPS está ativado no seu dispositivo de segurança MX:
1. Acesse Segurança e SD-WAN > Configurar > Proteção contra ameaças.
2. Verifique se o Modo está definido como Detecção (SDI) ou Prevenção (IPS).
3. Selecione um conjunto de regras: Conectividade, Equilibrado ou Segurança, com base nos seus requisitos de segurança.
4. Clique em Salvar alterações.
Gere tráfego de teste para verificar o encaminhamento de registros:
1. Acesse Segurança e SD-WAN > Monitorar > Central de segurança.
2. Verifique se os alertas do SDI estão sendo gerados.
3. Verifique os registros do agente do Bindplane para confirmar se os eventos estão sendo recebidos e encaminhados ao Google SecOps.
Observação: os alertas SDI só estão disponíveis com o licenciamento da Advanced Security Edition em IDSs Cyber 2.0. A entrega de alertas geralmente ocorre em até 90 segundos após a detecção do evento.
Observação: a função Alertas do IDS encaminha eventos no formato legado com o tipo de evento ids-alerts, enquanto a função Eventos de segurança encaminha eventos no formato atual com o tipo de evento security_event. Os dois formatos contêm informações de alerta do SDI e são compatíveis com o analisador CYBER_2_IDS. Recomendamos ativar as duas funções para capturar todos os eventos relacionados ao IDS.
Observação :o syslog do Cisco Meraki usa o protocolo UDP por padrão. Os protocolos TCP e TLS não são compatíveis com o encaminhamento de syslog de dispositivos Meraki.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
time1, monthnum+day+time2, time	metadata.event_timestamp	Carimbo de data/hora em que o evento ocorreu
app_version	about.resource.attribute.labels	Lista de pares de chave-valor para atributos de recursos
prod_event_type	metadata.product_event_type	Tipo de evento específico do produto
Grupos	principal.group.group_display_name	Nome de exibição do grupo
app_name, app_version, hostname, principal_ip, md5_value	sobre	Informações sobre o evento
inter_host	intermediary.hostname	Nome do host do intermediário
descrição	metadata.description	A descrição do evento
Protocolo	network.ip_protocol	Protocolo IP usado na conexão de rede
Direção	network.direction	Direção do tráfego de rede
Origem	principal.port	Número da porta do principal
Destino	target.port	Número da porta do destino
SourceIP, principal_ip	principal.ip	Endereço IP do principal
SourceIP, principal_ip	principal.asset.ip	Endereço IP do recurso do principal
DestinationIP	target.ip	Endereço IP do destino
DestinationIP	target.asset.ip	Endereço IP do recurso de destino
HostName, hostname	principal.hostname	Nome do host do principal
HostName, hostname	principal.asset.hostname	Nome do host do recurso da entidade principal
ApplicationName	target.application	Nome do aplicativo do destino
Nome de usuário	principal.user.userid	ID do usuário do principal
FullPath	target.file.full_path	Caminho completo do arquivo
Status	security_result.action	Ação realizada pelo sistema de segurança
pid	principal.process.pid	ID do processo
src_application	principal.application	Nome do aplicativo do principal
SubSeqNumber, FlowHandle, ClientZValue, MACAddress, State, IsXCast, FlowState, DLLMode	security_result.detection_fields	Campos de detecção do resultado de segurança
gravidade,	security_result.severity	Gravidade do resultado de segurança
DB, NewApps, UniqueApps, Computers, Duration	additional.fields	Outros campos
	metadata.event_type	Tipo de evento
	metadata.product_name	Nome do produto
	metadata.vendor_name	Nome do fornecedor

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.