收集 Cyber 2.0 IDS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Cyber 2.0 IDS 日志注入到 Google Security Operations 中。
Cyber 2.0 IDS 提供企业级网络安全防护,并集成了入侵检测和防御功能。MX 设备使用 Snort 入侵检测引擎来监控网络流量中的恶意活动,并根据 Cisco Talos 提供的威胁情报生成 IDS 提醒。IDS 提醒以两种格式生成:旧版 ids-alerts 和当前 security_event 类型,优先级级别从 1(高)到 4(非常低),具体取决于 Snort 签名分类。
准备工作
请确保您满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Cyber 2.0 IDS 之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Cisco Meraki 控制面板的管理员访问权限
- 具有高级安全版许可的 Cyber 2.0 IDS(IDS/IPS 功能必需)
- 从 Meraki MX 设备到 Bindplane 代理主机(UDP 端口 514 或自定义端口)的网络连接
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector服务状态应为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector服务状态应为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将日志发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_ids替换以下占位符:
接收器配置:
- 接收器配置为在 UDP 端口
514(标准 syslog 端口)上侦听所有接口 (0.0.0.0) - 如果端口 514 已在使用中,或者您需要在 Linux 上以非 root 用户身份运行,请将端口更改为
1514或其他可用端口
- 接收器配置为在 UDP 端口
导出器配置:
<CREDS_FILE_PATH>:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>:从上一步复制的客户 IDendpoint:区域端点网址(显示的默认网址是美国区域):- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:对于 Cisco Meraki IDS 提醒,请设置为CYBER_2_IDS。ingestion_labels:用于在 Google SecOps 中对日志进行分类的可选标签。
配置示例
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/meraki_ids: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: CYBER_2_IDS raw_log_field: body ingestion_labels: vendor: cisco_meraki product: mx_security_appliance environment: production service: pipelines: logs/meraki_to_chronicle: receivers: - udplog exporters: - chronicle/meraki_ids
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请执行以下操作:
运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请执行以下操作:
请从下列选项中选择一项:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
- 按
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 Cyber 2.0 IDS syslog 转发
- 前往 https://dashboard.meraki.com,登录 Cisco Meraki 控制面板。
- 从左上角的组织下拉菜单中选择您的组织。
- 从网络下拉菜单中选择包含 MX 安全设备的网络。
- 依次前往全网 > 配置 > 常规。
- 向下滚动到 Reporting(报告)部分。
- 在 Syslog 服务器下,点击添加 Syslog 服务器。
- 使用以下设置配置 syslog 服务器:
- 服务器 IP:输入 Bindplane 代理主机(例如
192.168.1.100)的 IP 地址。 - 端口:输入
514(或 Bindplane 代理中配置的自定义端口,如果不同)。 - 角色:选择以下角色以转发 IDS 提醒:
- 检查 IDS 提醒(针对旧版
ids-alerts格式的事件) - 查看安全事件(适用于当前
security_event格式的事件,包括 IDS 提醒和 AMP 恶意软件检测)
- 检查 IDS 提醒(针对旧版
- 服务器 IP:输入 Bindplane 代理主机(例如
- 点击页面底部的保存更改。
- 验证 MX 安全设备是否已启用 IDS/IPS:
- 依次前往安全性和 SD-WAN > 配置 > 威胁防护。
- 确保将模式设置为检测 (IDS) 或防御 (IPS)。
- 根据您的安全要求,选择规则集:连接、平衡或安全。
- 点击保存更改。
生成测试流量以验证日志转发:
- 依次前往安全性和 SD-WAN > 监控 > 安全中心。
- 验证是否正在生成 IDS 提醒。
- 检查 Bindplane 代理日志,确认事件是否正在被接收并转发到 Google SecOps。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| time1、monthnum+day+time2、time | metadata.event_timestamp | 事件发生时的时间戳 |
| app_version | about.resource.attribute.labels | 资源属性的键值对列表 |
| prod_event_type | metadata.product_event_type | 特定于产品的事件类型 |
| 群组 | principal.group.group_display_name | 群组的显示名称 |
| app_name、app_version、hostname、principal_ip、md5_value | 关于 | 活动相关信息 |
| inter_host | intermediary.hostname | 中介的主机名 |
| 说明 | metadata.description | 事件的说明 |
| 协议 | network.ip_protocol | 网络连接中使用的 IP 协议 |
| 方向 | network.direction | 网络流量的方向 |
| 来源 | principal.port | 主账号的端口号 |
| 目的地 | target.port | 目标的端口号 |
| SourceIP、principal_ip | principal.ip | 主账号的 IP 地址 |
| SourceIP、principal_ip | principal.asset.ip | 主账号的资产的 IP 地址 |
| DestinationIP | target.ip | 目标的 IP 地址 |
| DestinationIP | target.asset.ip | 目标资产的 IP 地址 |
| HostName、hostname | principal.hostname | 主账号的主机名 |
| HostName、hostname | principal.asset.hostname | 委托方资产的主机名 |
| ApplicationName | target.application | 目标的相应应用名称 |
| 用户名 | principal.user.userid | 主账号的用户 ID |
| FullPath | target.file.full_path | 文件的完整路径 |
| 状态 | security_result.action | 安防系统采取的操作 |
| pid | principal.process.pid | 进程 ID |
| src_application | principal.application | 主账号的应用名称 |
| SubSeqNumber、FlowHandle、ClientZValue、MACAddress、State、IsXCast、FlowState、DLLMode | security_result.detection_fields | 安全结果中的检测字段 |
| 和程度上减少 | security_result.severity | 安全结果的严重程度 |
| 数据库、NewApps、UniqueApps、计算机、时长 | additional.fields | 其他字段 |
| metadata.event_type | 事件类型 | |
| metadata.product_name | 产品名称 | |
| metadata.vendor_name | 供应商名称 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。