Recopila registros del sistema de prevención de intrusiones inalámbricas (WIPS) de Cisco

Compatible con:

En este documento, se explica cómo transferir registros del Sistema de prevención de intrusiones inalámbrico (WIPS) de Cisco a las Operaciones de seguridad de Google con Bindplane. El analizador extrae pares clave-valor de los mensajes de syslog y, luego, asigna esos valores a los campos del Modelo de datos unificado (UDM). Determina el event_type adecuado en función de la presencia de información del principal, el objetivo y el usuario, y categoriza los eventos de seguridad según eventType y otros campos.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Acceso privilegiado al punto de acceso (AP) o al controlador de LAN inalámbrica (WLC) de Cisco

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia.
    • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIPS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura el sistema de prevención de intrusiones inalámbricas adaptativo (aWIPS) en Cisco Catalyst

  1. Accede a Cisco Catalyst con SSH.

  2. Ingresa la configuración global para habilitar aWIPS en el perfil de AP:

    configure terminal
ap profile <profile-name>
awips

  3. Configura el intervalo de aceleración de syslog en 60 segundos:

    awips-syslog throttle period 60

Configura Syslog con perfiles de AP de Cisco

  1. En el perfil de AP-join (a través de la CLI):

    configure terminal
ap profile <profile-name>
  syslog host <Bindplane_IP_address>
  syslog level informational
  syslog facility local0
end

Configura Syslog en Cisco WLC (GUI)

  1. Accede a la IU web de WLC.
  2. Ve a Administración > Registros > Config.
  3. Ingresa la dirección IP del agente de Bindplane en el campo Dirección IP del servidor Syslog.
  4. Haz clic en Agregar.
  5. Proporciona los siguientes detalles de configuración:
    • Gravedad de Syslog: Selecciona Informativo.
    • Syslog Facility: Selecciona Local Use 0.
  6. Haz clic en Aplicar.
  7. Haz clic en Guardar configuración.

Configura Syslog en los puntos de acceso con WLC (CLI)

  1. Host de Syslog de la AP global:

    config ap syslog host global <Bindplane_IP_address>

  2. Configura el host syslog del AP específico:

    config ap syslog host specific <AP-name> <Bindplane_IP_address>

  3. Establece la gravedad del registro del sistema del AP:

    config ap logging syslog level informational

  4. Establece la instalación para los mensajes de AP:

    config logging syslog facility local0

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
applicationCategoryData security_result.summary Se asigna directamente.
applicationSpecificAlarmID target.resource.attribute.labels.applicationSpecificAlarmID Se convirtió en una etiqueta en el recurso de destino.
attackerMacAddr target.mac Se asigna directamente.
authEntityId principal.resource.attribute.labels.authEntityId Se convirtió en una etiqueta en el recurso principal.
category security_result.category_details Se asigna directamente.
detectingApCount target.resource.attribute.labels.detectingApCount Se convirtió en una etiqueta en el recurso de destino.
description metadata.description Se asigna directamente.
displayName principal.user.userid Se extrae con la expresión regular host/(?P<user_id>[\\w-]+) de displayName si coincide el patrón.
eventType metadata.product_event_type Se asigna directamente.
instanceId principal.resource.attribute.labels.instanceId Se convirtió en una etiqueta en el recurso principal.
instanceUuid metadata.product_log_id Se asigna directamente.
instanceVersion principal.resource.attribute.labels.instanceVersion Se convirtió en una etiqueta en el recurso principal.
macInfo target.resource.attribute.labels.macInfo Se convirtió en una etiqueta en el recurso de destino.
notificationDeliveryMechanism target.resource.attribute.labels.notificationDeliveryMechanism, network.ip_protocol Se convirtió en una etiqueta en el recurso de destino. Si el valor contiene "snmp" (sin distinción entre mayúsculas y minúsculas), network.ip_protocol se establece en "UDP".
previousSeverity target.resource.attribute.labels.previousSeverity Se convirtió en una etiqueta en el recurso de destino. Se establece en "AUTHTYPE_UNSPECIFIED" si eventType es "USER_AUTHENTICATION_FAILURE" y user_id no está vacío. Se copió del timestamp del registro. La lógica del analizador la determina en función de varias condiciones:
"USER_LOGIN" si eventType es "USER_AUTHENTICATION_FAILURE" y user_id no está vacío.
"NETWORK_CONNECTION" si is_target_present y is_principal_present son verdaderos.
"STATUS_UPDATE" si is_principal_present es verdadero.
"USER_UNCATEGORIZED" si user_id no está vacío. De lo contrario,
"GENERIC_EVENT". Se codifica como "CISCO_WIPS". Se codifica de forma rígida como "Sistema de prevención de intrusiones inalámbricas (WIPS)". Se codificó como "Cisco". Se establece en "UDP" si notificationDeliveryMechanism contiene "snmp" (sin distinción entre mayúsculas y minúsculas). Se asigna desde reportingEntityAddress o source si no son IPs. Se asigna desde reportingEntityAddress o source si son IPs. Se extrae con una expresión regular de source si es una dirección MAC. Se convirtió en una etiqueta en el recurso principal. Se convirtió en una etiqueta en el recurso principal.
reportingEntityAddress principal.ip, principal.hostname Si es una dirección IP, se asigna a principal.ip. De lo contrario, se asigna a principal.hostname.
severity security_result.severity Se asigna según estas condiciones:
"CRITICAL" si severity es "0", "1", "CRITICAL" o "VERY-HIGH".
"HIGH" si severity es "2", "3", "4" o "HIGH".
"MEDIUM" si severity es "5" o "MEDIUM".
"LOW" si severity es "6", "7" o "LOW".
sigAlertDescription security_result.description Se asigna directamente.
signatureName target.resource.attribute.labels.signatureName Se convirtió en una etiqueta en el recurso de destino.
source principal.hostname, principal.ip, principal.mac Si es una dirección IP, se asigna a principal.ip. Si es una dirección MAC, se asigna a principal.mac. De lo contrario, se asigna a principal.hostname.
srcObjectClassId principal.resource.attribute.labels.srcObjectClassId Se convirtió en una etiqueta en el recurso principal.
srcObjectId principal.resource.attribute.labels.srcObjectId Se convirtió en una etiqueta en el recurso principal.
subclassName security_result.rule_name Se asigna directamente. Se establece en "BLOCK" si applicationSpecificAlarmID contiene "BlockList" (sin distinguir mayúsculas de minúsculas) o si eventType es uno de los valores "SIGNATURE_ATTACK", "MALICIOUS_ROGUE_AP_DETECTED" o "USER_AUTHENTICATION_FAILURE". Se determina según la lógica del analizador en función de eventType:
"NETWORK_MALICIOUS" si eventType es "MALICIOUS_ROGUE_AP_DETECTED".
"NETWORK_SUSPICIOUS" si eventType es "SIGNATURE_ATTACK".
"AUTH_VIOLATION" si eventType es "USER_AUTHENTICATION_FAILURE".
timestamp metadata.event_timestamp Los campos seconds y nanos se asignan directamente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.