Recopila registros de CTS de Cisco

Compatible con:

En este documento, se explica cómo transferir registros de Cisco CTS a Google Security Operations con el agente de Bindplane.

El Cisco TelePresence System (CTS) hace referencia a los extremos de hardware heredados de videoconferencias, incluidos los sistemas CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200 y de la serie TX. Estos sistemas de sala de telepresencia inmersiva proporcionan funciones de videoconferencia de alta definición y se administran a través de Cisco Unified Communications Manager (CUCM). Los sistemas generan mensajes de syslog para las operaciones del sistema, las actividades de llamadas y la solución de problemas.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y el sistema Cisco TelePresence
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso de administrador a Cisco Unified Communications Manager (CUCM)
  • Acceso administrativo a la interfaz de administración del sistema Cisco TelePresence
  • Conectividad de red desde el códec de CTS al agente de Bindplane en el puerto UDP 514 (o el puerto configurado)

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.

  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.

  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

  • Instalación en Windows

    1. Abre el símbolo del sistema o PowerShell como administrador.

    2. Ejecuta el comando siguiente:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sc query observiq-otel-collector

      El servicio debe mostrarse como RUNNING.

  • Instalación en Linux

    1. Abre una terminal con privilegios de administrador o sudo.

    2. Ejecuta el comando siguiente:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sudo systemctl status observiq-otel-collector

      El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  1. Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

  2. Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • El receptor usa udplog para syslog UDP (estándar para dispositivos CTS).
      • listen_address se configura como 0.0.0.0:514 para escuchar en todas las interfaces del puerto UDP 514
      • Para los sistemas Linux que se ejecutan como no root, cambia el puerto a 1514 o a un número superior.

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: Reemplaza YOUR_CUSTOMER_ID por tu customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.
      • endpoint: URL del extremo regional:
        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.
      • log_type: Se establece en CISCO_CTS (se requiere concordancia exacta)

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

  • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
  • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

    1. Ejecuta el comando siguiente:

      sudo systemctl restart observiq-otel-collector

    2. Verifica que el servicio esté en ejecución:

      sudo systemctl status observiq-otel-collector

    3. Revisa los registros en busca de errores:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

    1. Elige una de las siguientes opciones:

      • Símbolo del sistema o PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Consola de Services:

      1. Presiona Win+R, escribe services.msc y presiona Intro.
      2. Busca observIQ OpenTelemetry Collector.
      3. Haz clic con el botón derecho y selecciona Reiniciar.

    2. Verifica que el servicio esté en ejecución:

      sc query observiq-otel-collector

    3. Revisa los registros en busca de errores:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog de Cisco CTS

El reenvío de syslog del sistema Cisco TelePresence (CTS) se configura a través de Cisco Unified Communications Manager (CUCM). La dirección de Syslog externa debe configurarse en el diseño de configuración específico del producto para cada dispositivo CTS.

Configura la dirección syslog externa en CUCM

  1. Accede a la interfaz de Cisco Unified Communications Manager Administration con un navegador web.
  2. Ve a Device > Phone.
  3. Usa la función de búsqueda para ubicar tu dispositivo Cisco TelePresence System.
  4. Haz clic en el nombre del dispositivo para abrir la ventana Configuración del teléfono.
  5. Desplázate hacia abajo hasta la sección Diseño de configuración específico del producto.
  6. Busca el campo External SYSLOG Address.

  7. En el campo External SYSLOG Address, ingresa la dirección del servidor syslog en uno de los siguientes formatos:

    • Solo la dirección IP: 192.168.1.100 (usa el puerto predeterminado 514)
    • Dirección IP con puerto: 192.168.1.100:514
    • Solo el nombre de host: bindplane-server.example.com (usa el puerto predeterminado 514)
    • Nombre de host con puerto: bindplane-server.example.com:1514

  8. Haz clic en Guardar en la parte inferior de la página para guardar la configuración.

  9. Haz clic en Apply Config para aplicar los cambios al dispositivo.

  10. Haz clic en Reset o Restart para reiniciar el dispositivo CTS y activar el reenvío de syslog.

Verifica la configuración de syslog en el dispositivo CTS

  1. Abre un navegador web y navega a la interfaz de administración del CTS en https://<CTS-IP-ADDRESS>.
  2. Accede con el nombre de usuario y la contraseña de administrador de SSH configurados en CUCM.
  3. Ve a Configuration > Network Settings.

  4. Verifica que el campo Dirección de Syslog muestre la dirección IP o el nombre de host de tu agente de Bindplane.

Configura syslog para varios dispositivos CTS

Si tienes varios dispositivos CTS, repite los pasos de configuración para cada uno de ellos:

  1. En CUCM, ve a Device > Phone.
  2. Busca y selecciona cada dispositivo CTS.
  3. Configura el campo External SYSLOG Address en la sección Product Specific Configuration Layout.
  4. Guarda y aplica la configuración para cada dispositivo.
  5. Reinicia cada dispositivo para activar el reenvío de syslog.

Verifica que se reciban los mensajes de syslog

  1. Verifica los registros del agente de Bindplane para confirmar que se reciben los mensajes de syslog:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f | grep -i cisco

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

  2. Accede a la consola de Google SecOps.

  3. Ve a Buscar y ejecuta una búsqueda de registros de CTS recientes:

    metadata.log_type = "CISCO_CTS"

  4. Verifica que los registros aparezcan en los resultados de la búsqueda con marcas de tiempo recientes.

Formato de mensaje de Syslog

El sistema Cisco TelePresence envía mensajes de syslog en formato RFC 3164 (syslog BSD). Los mensajes incluyen lo siguiente:

  • Mensajes de registro de operación del sistema (sysop) para actividades de llamadas, eventos de audio y video, y operaciones del sistema
  • Código de la instalación: Varía según el tipo de mensaje
  • Puerto predeterminado: UDP 514
  • Almacenamiento de mensajes: Hasta 20 archivos de registro rotativos en el dispositivo CTS

Soluciona problemas relacionados con el reenvío de syslog

Si no se reciben los mensajes de syslog, haz lo siguiente:

  1. Verifica la conectividad de red desde el códec de CTS al agente de Bindplane:

    ping <BINDPLANE_AGENT_IP>

  2. Verifica que las reglas de firewall permitan el tráfico de UDP en el puerto 514 (o el puerto configurado) desde las direcciones IP de CTS al agente de Bindplane.

  3. Verifica que la dirección de SYSLOG externa esté configurada correctamente en el diseño de configuración específico del producto de CUCM.

  4. Verifica que el dispositivo CTS se haya reiniciado después de aplicar la configuración de syslog.

  5. Verifica los registros de la interfaz de administración de CTS en Solución de problemas > Archivos de registro para detectar errores relacionados con syslog.

  6. Verifica que el agente de Bindplane esté escuchando en el puerto correcto:

    • Linux:

      sudo netstat -ulnp | grep 514

    • Windows:

      netstat -an | findstr :514

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AuditDetails, data2 security_result.description Valor de AuditDetails si no está vacío; de lo contrario, data2
ClientAddress, LoginFrom principal.ip Valor de ClientAddress si no está vacío y no es una dirección IP; de lo contrario, LoginFrom
EventType metadata.product_event_type Valor copiado directamente
logType metadata.description Valor copiado directamente
gravedad, security_result.severity Se establece como INFORMATIONAL si la gravedad está en [6,7]; LOW si es 5; MEDIUM si es 4; ERROR si es 3; HIGH si es 2; de lo contrario, CRITICAL
logType, EventStatus security_result.action Se establece en ALLOW si logType == AuthenticationSucceeded o EventStatus == Success
EventType, logType metadata.event_type Se establece en USER_RESOURCE_ACCESS si EventType == UserAccess; USER_LOGIN si EventType == UserLogging o logType coincide con LOGIN; USER_RESOURCE_UPDATE_CONTENT si EventType está en [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; de lo contrario, GENERIC_EVENT
AppID principal.application Valor copiado directamente
NodeID target.hostname Valor copiado directamente
process_id principal.process.pid Valor copiado directamente
ResourceAccessed target.resource.name Valor copiado directamente
UserID principal.user.userid Valor copiado directamente
metadata.product_name Se establece en "CISCO_CTS".
metadata.vendor_name Se estableció en "CISCO".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.