このページは Cloud Translation API によって翻訳されました。

Cisco Wireless Intrusion Prevention System（WIPS）のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Cisco Wireless Intrusion Prevention System（WIPS）ログを Google Security Operations に取り込む方法について説明します。パーサーは syslog メッセージから Key-Value ペアを抽出し、それらの値を統合データモデル（UDM）フィールドにマッピングします。プリンシパル、ターゲット、ユーザー情報が存在するかどうかを基に適切な event_type を特定し、eventType などのフィールドに基づいてセキュリティイベントを分類します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Cisco アクセスポイント（AP） / ワイヤレス LAN コントローラ（WLC）への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
- BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIPS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cisco Catalyst で Adaptive Wireless Intrusion Prevention System（aWIPS）を構成する

SSH を使用して Cisco Catalyst にログインします。
AP プロファイルで aWIPS を有効にするには、グローバル構成を入力します。
```
configure terminal
ap profile <profile-name>
awips
```
syslog スロットル間隔を 60 秒に構成します。
```
awips-syslog throttle period 60
```

Cisco AP プロファイルを使用して Syslog を構成する

AP 参加プロファイル（CLI 経由）:

configure terminal
ap profile <profile-name>
  syslog host <Bindplane_IP_address>
  syslog level informational
  syslog facility local0
end

Cisco WLC で Syslog を構成する（GUI）

WLC ウェブ UI にログインします。
[管理> ログ> 構成] に移動します。
[Syslog Server IP Address] フィールドに、Bindplane エージェントの IP アドレスを入力します。
[追加] をクリックします。
次の構成の詳細を入力します。
- Syslog Severity: [Informational] を選択します。
- Syslog Facility: [Local Use 0] を選択します。
[適用] をクリックします。
[Save Configuration] をクリックします。

WLC（CLI）を使用してアクセスポイントで Syslog を構成する

グローバル AP syslog ホスト:

config ap syslog host global <Bindplane_IP_address>

特定の AP syslog ホストを構成します。

config ap syslog host specific <AP-name> <Bindplane_IP_address>

AP の Syslog の重大度を設定します。

config ap logging syslog level informational

AP メッセージのファシリティを設定します。
```
config logging syslog facility local0
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`applicationCategoryData`	`security_result.summary`	直接マッピングされます。
`applicationSpecificAlarmID`	`target.resource.attribute.labels.applicationSpecificAlarmID`	ターゲットリソースのラベルに変換されました。
`attackerMacAddr`	`target.mac`	直接マッピングされます。
`authEntityId`	`principal.resource.attribute.labels.authEntityId`	プリンシパルリソースのラベルに変換されました。
`category`	`security_result.category_details`	直接マッピングされます。
`detectingApCount`	`target.resource.attribute.labels.detectingApCount`	ターゲットリソースのラベルに変換されました。
`description`	`metadata.description`	直接マッピングされます。
`displayName`	`principal.user.userid`	パターンが一致する場合、`displayName` から正規表現 `host/(?P<user_id>[\\w-]+)` を使用して抽出されます。
`eventType`	`metadata.product_event_type`	直接マッピングされます。
`instanceId`	`principal.resource.attribute.labels.instanceId`	プリンシパルリソースのラベルに変換されました。
`instanceUuid`	`metadata.product_log_id`	直接マッピングされます。
`instanceVersion`	`principal.resource.attribute.labels.instanceVersion`	プリンシパルリソースのラベルに変換されました。
`macInfo`	`target.resource.attribute.labels.macInfo`	ターゲットリソースのラベルに変換されました。
`notificationDeliveryMechanism`	`target.resource.attribute.labels.notificationDeliveryMechanism`、`network.ip_protocol`	ターゲットリソースのラベルに変換されました。値に「snmp」が含まれている場合（大文字と小文字を区別しない）、`network.ip_protocol` は「UDP」に設定されます。
`previousSeverity`	`target.resource.attribute.labels.previousSeverity`	ターゲットリソースのラベルに変換されました。`eventType` が「USER_AUTHENTICATION_FAILURE」で、`user_id` が空でない場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。ログの `timestamp` からコピーされます。複数の条件に基づいてパーサーロジックで決定されます。`eventType` が「USER_AUTHENTICATION_FAILURE」で、`user_id` が空でない場合、は「USER_LOGIN」になります。`is_target_present` と `is_principal_present` の両方が true の場合、は「NETWORK_CONNECTION」になります。`is_principal_present` が true の場合は「STATUS_UPDATE」。`user_id` が空でない場合は「USER_UNCATEGORIZED」。それ以外の場合は「GENERIC_EVENT」。「CISCO_WIPS」にハードコードされます。「Wireless Intrusion Prevention System (WIPS)」にハードコードされています。「Cisco」にハードコードされます。`notificationDeliveryMechanism` に「snmp」が含まれている場合は、「UDP」に設定します（大文字と小文字を区別しない）。`reportingEntityAddress` または `source` が IP でない場合は、それらからマッピングされます。`reportingEntityAddress` または `source` が IP の場合は、それらからマッピングされます。MAC アドレスの場合は、`source` から正規表現を使用して抽出されます。プリンシパルリソースのラベルに変換されました。プリンシパルリソースのラベルに変換されました。
`reportingEntityAddress`	`principal.ip`、`principal.hostname`	IP アドレスの場合は、`principal.ip` にマッピングされます。それ以外の場合は `principal.hostname` にマッピングされます。
`severity`	`security_result.severity`	次の条件に基づいてマッピングされます。`severity` が「0」、「1」、「CRITICAL」、「VERY-HIGH」の場合、は「CRITICAL」になります。`severity` が「2」、「3」、「4」、「HIGH」の場合、は「HIGH」。`severity` が「5」または「MEDIUM」の場合、は「MEDIUM」になります。`severity` が「6」、「7」、「LOW」の場合は「LOW」。
`sigAlertDescription`	`security_result.description`	直接マッピングされます。
`signatureName`	`target.resource.attribute.labels.signatureName`	ターゲットリソースのラベルに変換されました。
`source`	`principal.hostname`、`principal.ip`、`principal.mac`	IP アドレスの場合は、`principal.ip` にマッピングされます。MAC アドレスの場合は、`principal.mac` にマッピングされます。それ以外の場合は `principal.hostname` にマッピングされます。
`srcObjectClassId`	`principal.resource.attribute.labels.srcObjectClassId`	プリンシパルリソースのラベルに変換されました。
`srcObjectId`	`principal.resource.attribute.labels.srcObjectId`	プリンシパルリソースのラベルに変換されました。
`subclassName`	`security_result.rule_name`	直接マッピングされます。`applicationSpecificAlarmID` に「BlockList」が含まれている場合（大文字と小文字を区別しない）、または `eventType` が「SIGNATURE_ATTACK」、「MALICIOUS_ROGUE_AP_DETECTED」、「USER_AUTHENTICATION_FAILURE」のいずれかである場合は、「BLOCK」に設定されます。`eventType` に基づくパーサーロジックによって決定されます。`eventType` が「MALICIOUS_ROGUE_AP_DETECTED」の場合、は「NETWORK_MALICIOUS」になります。 `eventType` が「SIGNATURE_ATTACK」の場合は「NETWORK_SUSPICIOUS」。 `eventType` が「USER_AUTHENTICATION_FAILURE」の場合は「AUTH_VIOLATION」。
`timestamp`	`metadata.event_timestamp`	`seconds` フィールドと `nanos` フィールドは直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。