Recolha registos do Cisco UCS

Compatível com:

Este documento explica como carregar registos do Cisco UCS para o Google Security Operations através do Bindplane. O código do analisador tenta primeiro analisar a mensagem de registo não processada como JSON. Se falhar, usa expressões regulares (padrões grok) para extrair campos da mensagem com base em formatos de registo comuns do Cisco UCS. .

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
  • Acesso privilegiado ao Cisco UCS

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    ```cmd
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    ```bash
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:

    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

                    receivers:
                    udplog:
                        # Replace the port and IP address as required
                        listen_address: "0.0.0.0:514"

                exporters:
                    chronicle/chronicle_w_labels:
                        compression: gzip
                        # Adjust the path to the credentials file you downloaded in Step 1
                        creds: '/path/to/ingestion-authentication-file.json'
                        # Replace with your actual customer ID from Step 2
                        customer_id: <customer_id>
                        endpoint: malachiteingestion-pa.googleapis.com
                        # Add optional ingestion labels for better organization
                        ingestion_labels:
                            log_type: CISCO_UCS
                            raw_log_field: body

                service:
                    pipelines:
                        logs/source0__chronicle_w_labels-0:
                            receivers:
                                - udplog
                            exporters:
                                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID de cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    ```bash
sudo systemctl restart bindplane-agent
```

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    ```cmd
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog para o Cisco UCS

  1. Inicie sessão no gestor do Cisco UCS.
  2. Selecione o separador Administração.
  3. Expanda Falhas, eventos e registo de auditoria.
  4. Selecione Syslog.
  5. Localize a categoria Ficheiro e selecione Ativado para o estado de administrador.
  6. Selecione o nível de alarme no menu (por exemplo, Avisos).
  7. Clique em Guardar alterações.
  8. Localize a categoria Destinos remotos à direita.
  9. Selecione Ativado para Estado de administrador do servidor 1.
  10. Indique os seguintes detalhes de configuração:
    • Nível: selecione Informativo.
    • Nome do anfitrião: introduza o endereço IP do Bindplane. A porta predefinida no UCS é 514.
    • Instalação: selecione Local7.
  11. Clique em Guardar alterações.

Tabela de mapeamento do UDM

Campo de registo Mapeamento do UDM Lógica
aplicação read_only_udm.principal.application Valor retirado do campo "application" extraído pelo padrão Grok.
desc read_only_udm.security_result.description Valor retirado do campo "desc" extraído pelo padrão Grok.
desc read_only_udm.security_result.severity Se o campo "desc" contiver Warning, defina como HIGH.
nome de ficheiro read_only_udm.principal.process.file.full_path Valor retirado do campo "filename" extraído pelo padrão Grok.
file_size read_only_udm.principal.process.file.size Valor retirado do campo "file_size" extraído pelo padrão Grok e convertido num número inteiro sem sinal.
anfitrião read_only_udm.principal.ip Valor retirado do campo "host" extraído pelo padrão Grok.
hostname read_only_udm.principal.hostname Valor retirado do campo "hostname" extraído pelo padrão Grok.
prod_evt_type read_only_udm.metadata.product_event_type Valor retirado do campo "prod_evt_type" extraído pelo padrão Grok.
serviço read_only_udm.target.application Valor retirado do campo "service" extraído pelo padrão Grok.
gravidade read_only_udm.security_result.severity Se o campo "severity" contiver error (não é sensível a maiúsculas e minúsculas), defina-o como ERROR.
timestamp read_only_udm.metadata.event_timestamp.seconds Valor retirado do campo "timestamp" extraído pelo padrão Grok e analisado como um carimbo de data/hora.
utilizador read_only_udm.principal.user.userid Valor retirado do campo "user" extraído pelo padrão Grok.
read_only_udm.extensions.auth.type Definido como MACHINE se o campo "user" não estiver vazio.
read_only_udm.metadata.event_type Lógica baseada na presença de campos:
- USER_LOGIN se o campo "user" não estiver vazio.
- GENERIC_EVENT se os campos "hostname" e "host" estiverem vazios.
, exceto se STATUS_UPDATE.
read_only_udm.metadata.log_type Codificado para CISCO_UCS.
read_only_udm.metadata.product_name Codificado para Cisco UCS.
read_only_udm.metadata.vendor_name Codificado para Cisco.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.