Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux du système de prévention des intrusions sans fil (WIPS) Cisco

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux du système de prévention des intrusions sans fil (WIPS, Wireless Intrusion Prevention System) Cisco dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les paires clé/valeur des messages syslog, puis mappe ces valeurs aux champs UDM (Unified Data Model). Il détermine le event_type approprié en fonction de la présence d'informations sur le principal, la cible et l'utilisateur, et catégorise les événements de sécurité en fonction de eventType et d'autres champs.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Accès privilégié au point d'accès (AP) ou au contrôleur de réseau local sans fil (WLC) Cisco

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
- Enregistrez le fichier de manière sécurisée sur le système sur lequel BindPlane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIPS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le système adaptatif de prévention des intrusions sans fil (aWIPS) sur Cisco Catalyst

Connectez-vous à Cisco Catalyst à l'aide de SSH.
Saisissez la configuration globale pour activer aWIPS dans le profil du point d'accès :
```
configure terminal
ap profile <profile-name>
awips
```
Configurez l'intervalle de limitation syslog sur 60 secondes :
```
awips-syslog throttle period 60
```

Configurer Syslog à l'aide des profils de points d'accès Cisco

Dans le profil AP-join (via la CLI) :

configure terminal
ap profile <profile-name>
  syslog host <Bindplane_IP_address>
  syslog level informational
  syslog facility local0
end

Configurer Syslog sur Cisco WLC (interface graphique)

Connectez-vous à l'interface utilisateur Web du WLC.
Accédez à Gestion > Journaux > Config.
Saisissez l'adresse IP de l'agent Bindplane dans le champ Adresse IP du serveur Syslog.
Cliquez sur Ajouter.
Fournissez les informations de configuration suivantes :
- Gravité Syslog : sélectionnez Informationnel.
- Installation Syslog : sélectionnez Utilisation locale 0.
Cliquez sur Appliquer.
Cliquez sur Enregistrer la configuration.

Configurer Syslog sur les points d'accès à l'aide du WLC (CLI)

Hôte syslog du point d'accès global :

config ap syslog host global <Bindplane_IP_address>

Configurez l'hôte syslog du point d'accès spécifique :

config ap syslog host specific <AP-name> <Bindplane_IP_address>

Définissez la gravité du syslog du point d'accès :
```
config ap logging syslog level informational
```
Définissez la facilité pour les messages AP :
```
config logging syslog facility local0
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`applicationCategoryData`	`security_result.summary`	Mappé directement.
`applicationSpecificAlarmID`	`target.resource.attribute.labels.applicationSpecificAlarmID`	Converti en libellé sur la ressource cible.
`attackerMacAddr`	`target.mac`	Mappé directement.
`authEntityId`	`principal.resource.attribute.labels.authEntityId`	Converti en libellé sur la ressource principale.
`category`	`security_result.category_details`	Mappé directement.
`detectingApCount`	`target.resource.attribute.labels.detectingApCount`	Converti en libellé sur la ressource cible.
`description`	`metadata.description`	Mappé directement.
`displayName`	`principal.user.userid`	Extrait à l'aide de l'expression régulière `host/(?P<user_id>[\\w-]+)` à partir de `displayName` si le modèle correspond.
`eventType`	`metadata.product_event_type`	Mappé directement.
`instanceId`	`principal.resource.attribute.labels.instanceId`	Converti en libellé sur la ressource principale.
`instanceUuid`	`metadata.product_log_id`	Mappé directement.
`instanceVersion`	`principal.resource.attribute.labels.instanceVersion`	Converti en libellé sur la ressource principale.
`macInfo`	`target.resource.attribute.labels.macInfo`	Converti en libellé sur la ressource cible.
`notificationDeliveryMechanism`	`target.resource.attribute.labels.notificationDeliveryMechanism`, `network.ip_protocol`	Converti en libellé sur la ressource cible. Si la valeur contient "snmp" (sans tenir compte de la casse), `network.ip_protocol` est défini sur "UDP".
`previousSeverity`	`target.resource.attribute.labels.previousSeverity`	Converti en libellé sur la ressource cible. Définissez sur "AUTHTYPE_UNSPECIFIED" si `eventType` est "USER_AUTHENTICATION_FAILURE" et que `user_id` n'est pas vide. Copié à partir de `timestamp` du journal. Déterminé par la logique de l'analyseur en fonction de plusieurs conditions : "USER_LOGIN" si `eventType` est "USER_AUTHENTICATION_FAILURE" et que `user_id` n'est pas vide. "NETWORK_CONNECTION" si `is_target_present` et `is_principal_present` sont tous les deux définis sur "true". "STATUS_UPDATE" si `is_principal_present` est défini sur "true". "USER_UNCATEGORIZED" si `user_id` n'est pas vide. sinon. Codé en dur sur "CISCO_WIPS". Codé en dur sur "Système de prévention d'intrusion sans fil (WIPS)". Codé en dur sur "Cisco". Définissez sur "UDP" si `notificationDeliveryMechanism` contient "snmp" (sans tenir compte de la casse). Mappé à partir de `reportingEntityAddress` ou `source` s'il ne s'agit pas d'adresses IP. Mappé à partir de `reportingEntityAddress` ou `source` s'il s'agit d'adresses IP. Extrait à l'aide d'une expression régulière à partir de `source` s'il s'agit d'une adresse MAC. Converti en libellé sur la ressource principale. Converti en libellé sur la ressource principale.
`reportingEntityAddress`	`principal.ip`, `principal.hostname`	S'il s'agit d'une adresse IP, elle est mappée sur `principal.ip`. Sinon, elle est mappée sur `principal.hostname`.
`severity`	`security_result.severity`	Mappé en fonction des conditions suivantes : "CRITIQUE" si `severity` est "0", "1", "CRITIQUE" ou "TRÈS ÉLEVÉ". : "HIGH" si `severity` est "2", "3", "4" ou "HIGH". : "MEDIUM" si `severity` est "5" ou "MEDIUM". : "LOW" si `severity` est "6", "7" ou "LOW".
`sigAlertDescription`	`security_result.description`	Mappé directement.
`signatureName`	`target.resource.attribute.labels.signatureName`	Converti en libellé sur la ressource cible.
`source`	`principal.hostname`, `principal.ip`, `principal.mac`	S'il s'agit d'une adresse IP, elle est mappée sur `principal.ip`. S'il s'agit d'une adresse MAC, elle est mappée à `principal.mac`. Sinon, elle est mappée sur `principal.hostname`.
`srcObjectClassId`	`principal.resource.attribute.labels.srcObjectClassId`	Converti en libellé sur la ressource principale.
`srcObjectId`	`principal.resource.attribute.labels.srcObjectId`	Converti en libellé sur la ressource principale.
`subclassName`	`security_result.rule_name`	Mappé directement. Définissez sur "BLOCK" si `applicationSpecificAlarmID` contient "BlockList" (sans tenir compte de la casse) ou si `eventType` est l'une des valeurs "SIGNATURE_ATTACK", "MALICIOUS_ROGUE_AP_DETECTED" ou "USER_AUTHENTICATION_FAILURE". Déterminé par la logique de l'analyseur en fonction de `eventType` : "NETWORK_MALICIOUS" si `eventType` est "MALICIOUS_ROGUE_AP_DETECTED". "NETWORK_SUSPICIOUS" si `eventType` est "SIGNATURE_ATTACK". "AUTH_VIOLATION" si `eventType` est "USER_AUTHENTICATION_FAILURE".
`timestamp`	`metadata.event_timestamp`	Les champs `seconds` et `nanos` sont directement mappés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.