Cisco CTS-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco CTS-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Cisco TelePresence System (CTS) bezieht sich auf ältere Videokonferenz-Hardware-Endpunkte, darunter CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200 und Systeme der TX-Serie. Diese immersiven Telepräsenz-Raumsysteme bieten Videokonferenzfunktionen in High-Definition und werden über Cisco Unified Communications Manager (CUCM) verwaltet. Die Systeme generieren Syslog-Meldungen für Systemvorgänge, Anrufaktivitäten und die Fehlerbehebung.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem Cisco TelePresence System
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Administratorzugriff auf Cisco Unified Communications Manager (CUCM)
  • Administratorzugriff auf die Cisco TelePresence System Administration-Schnittstelle
  • Netzwerkverbindung vom CTS-Codec zum Bindplane-Agent über den UDP-Port 514 (oder den konfigurierten Port)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.

  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

  • Fenstereinbau

    1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

    2. Führen Sie dazu diesen Befehl aus:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sc query observiq-otel-collector

      Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

  • Linux-Installation

    1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

    2. Führen Sie dazu diesen Befehl aus:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sudo systemctl status observiq-otel-collector

      Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • Der Empfänger verwendet udplog für UDP-Syslog (Standard für CTS-Geräte).
      • listen_address ist auf 0.0.0.0:514 festgelegt, um alle Schnittstellen auf UDP-Port 514 zu überwachen.
      • Bei Linux-Systemen, die nicht als Root ausgeführt werden, ändern Sie den Port in 1514 oder höher.

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch Ihre customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Auf CISCO_CTS setzen (genaue Übereinstimmung erforderlich)

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.
      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Logs auf Fehler prüfen:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Cisco CTS konfigurieren

Die Syslog-Weiterleitung für Cisco TelePresence System (CTS) wird über Cisco Unified Communications Manager (CUCM) konfiguriert. Die externe Syslog-Adresse muss für jedes CTS-Gerät im produktspezifischen Konfigurationslayout konfiguriert werden.

Externe Syslog-Adresse in CUCM konfigurieren

  1. Melden Sie sich über einen Webbrowser in der Cisco Unified Communications Manager Administration-Oberfläche an.
  2. Gehen Sie zu Gerät > Telefon.
  3. Suchen Sie mithilfe der Suchfunktion nach Ihrem Cisco TelePresence System-Gerät.
  4. Klicken Sie auf den Gerätenamen, um das Fenster Telefonkonfiguration zu öffnen.
  5. Scrollen Sie nach unten zum Abschnitt Layout für produktspezifische Konfiguration.
  6. Suchen Sie das Feld External SYSLOG Address (Externe SYSLOG-Adresse).

  7. Geben Sie im Feld Externe SYSLOG-Adresse die Adresse des Syslog-Servers in einem der folgenden Formate ein:

    • Nur IP-Adresse: 192.168.1.100 (verwendet den Standardport 514)
    • IP-Adresse mit Port: 192.168.1.100:514
    • Nur Hostname: bindplane-server.example.com (verwendet den Standardport 514)
    • Hostname mit Port: bindplane-server.example.com:1514

  8. Klicken Sie unten auf der Seite auf Speichern, um die Konfiguration zu speichern.

  9. Klicken Sie auf Konfiguration anwenden, um die Änderungen auf das Gerät anzuwenden.

  10. Klicken Sie auf Zurücksetzen oder Neu starten, um das CTS-Gerät neu zu starten und die Syslog-Weiterleitung zu aktivieren.

Syslog-Konfiguration auf dem CTS-Gerät prüfen

  1. Öffnen Sie einen Webbrowser und rufen Sie die CTS-Verwaltungsoberfläche unter https://<CTS-IP-ADDRESS> auf.
  2. Melden Sie sich mit dem in CUCM konfigurierten SSH-Administratornutzernamen und -passwort an.
  3. Gehen Sie zu Konfiguration > Netzwerkeinstellungen.

  4. Prüfen Sie, ob im Feld Syslog Address die IP-Adresse oder der Hostname Ihres Bindplane-Agents angezeigt wird.

Syslog für mehrere CTS-Geräte konfigurieren

Wenn Sie mehrere CTS-Geräte haben, wiederholen Sie die Konfigurationsschritte für jedes Gerät:

  1. Gehen Sie in CUCM zu Device> Phone.
  2. Suchen Sie nach jedem CTS-Gerät und wählen Sie es aus.
  3. Konfigurieren Sie das Feld External SYSLOG Address (Externe SYSLOG-Adresse) im Abschnitt Product Specific Configuration Layout (Produktspezifisches Konfigurationslayout).
  4. Speichern Sie die Konfiguration für jedes Gerät und wenden Sie sie an.
  5. Starten Sie jedes Gerät neu, um die Syslog-Weiterleitung zu aktivieren.

Prüfen, ob Syslog-Nachrichten empfangen werden

  1. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten empfangen werden:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f | grep -i cisco

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

  2. Melden Sie sich in der Google SecOps-Konsole an.

  3. Rufen Sie Search auf und führen Sie eine Suchanfrage nach aktuellen CTS-Logs aus:

    metadata.log_type = "CISCO_CTS"

  4. Prüfen Sie, ob in den Suchergebnissen Logs mit aktuellen Zeitstempeln angezeigt werden.

Syslog-Nachrichtenformat

Das Cisco TelePresence System sendet Syslog-Nachrichten im Format RFC 3164 (BSD Syslog). Dazu gehören:

  • Sysop-Logmeldungen für Anrufaktivitäten, Video-/Audioereignisse und Systemvorgänge
  • Einrichtungscode: Variiert je nach Nachrichtentyp
  • Standardport: UDP 514
  • Speicher für Nachrichten: Bis zu 20 rotierende Protokolldateien auf dem CTS-Gerät

Fehlerbehebung bei der Syslog-Weiterleitung

Wenn keine Syslog-Meldungen empfangen werden:

  1. Prüfen Sie die Netzwerkverbindung vom CTS-Codec zum Bindplane-Agent:

    ping <BINDPLANE_AGENT_IP>

  2. Prüfen Sie, ob die Firewallregeln UDP-Traffic auf Port 514 (oder dem konfigurierten Port) von CTS-IP-Adressen zum Bindplane-Agent zulassen.

  3. Prüfen Sie, ob die externe SYSLOG-Adresse im CUCM-Layout für produktspezifische Konfiguration richtig konfiguriert ist.

  4. Prüfen Sie, ob das CTS-Gerät nach dem Anwenden der Syslog-Konfiguration neu gestartet wurde.

  5. Prüfen Sie die Logs der CTS-Administrationsschnittstelle unter Fehlerbehebung > Protokolldateien auf syslog-bezogene Fehler.

  6. Prüfen Sie, ob der Bindplane-Agent den richtigen Port überwacht:

    • Linux:

      sudo netstat -ulnp | grep 514

    • Windows:

      netstat -an | findstr :514

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AuditDetails, data2 security_result.description Wert aus AuditDetails, falls nicht leer, andernfalls data2
ClientAddress, LoginFrom principal.ip Wert aus „ClientAddress“, falls nicht leer und keine IP-Adresse, andernfalls „LoginFrom“
EventType metadata.product_event_type Wert direkt kopiert
logType metadata.description Wert direkt kopiert
die Ausprägung security_result.severity Auf INFORMATIONAL festlegen, wenn der Schweregrad in [6,7] liegt; LOW, wenn 5; MEDIUM, wenn 4; ERROR, wenn 3; HIGH, wenn 2; andernfalls CRITICAL
logType, EventStatus security_result.action Auf ALLOW setzen, wenn logType == AuthenticationSucceeded oder EventStatus == Success
EventType, logType metadata.event_type Auf USER_RESOURCE_ACCESS setzen, wenn EventType == UserAccess; USER_LOGIN, wenn EventType == UserLogging oder logType mit LOGIN übereinstimmt; USER_RESOURCE_UPDATE_CONTENT, wenn EventType in [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; andernfalls GENERIC_EVENT
AppID principal.application Wert direkt kopiert
NodeID target.hostname Wert direkt kopiert
process_id principal.process.pid Wert direkt kopiert
ResourceAccessed target.resource.name Wert direkt kopiert
UserID principal.user.userid Wert direkt kopiert
metadata.product_name Auf „CISCO_CTS“ festlegen
metadata.vendor_name Auf „CISCO“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten