Collecter les journaux Cisco CTS
Ce document explique comment ingérer des journaux Cisco CTS dans Google Security Operations à l'aide de l'agent Bindplane.
Cisco TelePresence System (CTS) désigne les anciens terminaux de visioconférence, y compris les systèmes CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200 et de la gamme TX. Ces systèmes de visioconférence immersive offrent des fonctionnalités de visioconférence haute définition et sont gérés par Cisco Unified Communications Manager (CUCM). Les systèmes génèrent des messages syslog pour les opérations système, les activités d'appel et le dépannage.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Connectivité réseau entre l'agent Bindplane et Cisco TelePresence System
- Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès administrateur à Cisco Unified Communications Manager (CUCM)
- Accès administrateur à l'interface d'administration du système Cisco TelePresence
- Connectivité réseau du codec CTS à l'agent Bindplane sur le port UDP 514 (ou le port configuré)
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collectorLe service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collectorLe service doit être indiqué comme actif (en cours d'exécution).
Autres ressources d'installation
Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifiez le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_cts: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CISCO_CTS raw_log_field: body service: pipelines: logs/cts_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_ctsRemplacez les espaces réservés suivants :
Configuration du récepteur :
- Le récepteur utilise
udplogpour le syslog UDP (norme pour les appareils CTS). listen_addressest défini sur0.0.0.0:514pour écouter sur toutes les interfaces sur le port UDP 514.- Pour les systèmes Linux exécutés en tant que non-root, remplacez le port par
1514ou une valeur supérieure.
- Le récepteur utilise
Configuration de l'exportateur :
creds_file_path: chemin d'accès complet au fichier d'authentification de l'ingestion :- Linux :
/etc/bindplane-agent/ingestion-auth.json - Windows :
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux :
customer_id: remplacezYOUR_CUSTOMER_IDpar votrecustomer ID. Pour en savoir plus, consultez Obtenir l'ID client Google SecOps.endpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe :
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
log_type: définie surCISCO_CTS(correspondance exacte requise)
Enregistrez le fichier de configuration.
Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur Fichier > Enregistrer.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux :
Exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane sous Windows :
Choisissez l'une des options suivantes :
Invite de commandes ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Localisez observIQ OpenTelemetry Collector.
- Effectuez un clic droit, puis sélectionnez Redémarrer.
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Configurer le transfert syslog Cisco CTS
Le transfert syslog Cisco TelePresence System (CTS) est configuré via Cisco Unified Communications Manager (CUCM). L'adresse Syslog externe doit être configurée dans la mise en page de configuration spécifique au produit pour chaque appareil CTS.
Configurer une adresse syslog externe dans CUCM
- Connectez-vous à l'interface Cisco Unified Communications Manager Administration à l'aide d'un navigateur Web.
- Accédez à Appareil > Téléphone.
- Utilisez la fonction de recherche pour localiser votre appareil Cisco TelePresence System.
- Cliquez sur le nom de l'appareil pour ouvrir la fenêtre Configuration du téléphone.
- Faites défiler la page jusqu'à la section Mise en page de la configuration spécifique au produit.
- Repérez le champ Adresse SYSLOG externe.
Dans le champ Adresse SYSLOG externe, saisissez l'adresse du serveur syslog dans l'un des formats suivants :
- Adresse IP uniquement :
192.168.1.100(utilise le port 514 par défaut) - Adresse IP avec port :
192.168.1.100:514 - Nom d'hôte uniquement :
bindplane-server.example.com(utilise le port 514 par défaut) - Nom d'hôte avec port :
bindplane-server.example.com:1514
- Adresse IP uniquement :
Cliquez sur Enregistrer en bas de la page pour enregistrer la configuration.
Cliquez sur Appliquer la configuration pour appliquer les modifications à l'appareil.
Cliquez sur Réinitialiser ou Redémarrer pour redémarrer l'appareil CTS et activer le transfert syslog.
Vérifier la configuration syslog sur l'appareil CTS
- Ouvrez un navigateur Web et accédez à l'interface d'administration CTS à l'adresse
https://<CTS-IP-ADDRESS>. - Connectez-vous avec le nom d'utilisateur et le mot de passe de l'administrateur SSH configurés dans CUCM.
- Accédez à Configuration > Paramètres réseau.
Vérifiez que le champ Adresse Syslog affiche l'adresse IP ou le nom d'hôte de votre agent Bindplane.
Configurer syslog pour plusieurs appareils CTS
Si vous possédez plusieurs appareils CTS, répétez les étapes de configuration pour chacun d'eux :
- Dans CUCM, accédez à Appareil > Téléphone.
- Recherchez et sélectionnez chaque appareil CTS.
- Configurez le champ Adresse SYSLOG externe dans la section Mise en page de la configuration spécifique au produit.
- Enregistrez et appliquez la configuration pour chaque appareil.
- Redémarrez chaque appareil pour activer le transfert syslog.
Vérifier que les messages syslog sont reçus
Consultez les journaux de l'agent Bindplane pour vérifier que les messages syslog sont bien reçus :
Linux :
sudo journalctl -u observiq-otel-collector -f | grep -i ciscoWindows :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco
Connectez-vous à la console Google SecOps.
Accédez à Rechercher et exécutez une requête de recherche pour les journaux CTS récents :
metadata.log_type = "CISCO_CTS"Vérifiez que les journaux s'affichent dans les résultats de recherche avec des codes temporels récents.
Format des messages Syslog
Cisco TelePresence System envoie des messages syslog au format RFC 3164 (BSD syslog). Voici quelques exemples de messages :
- Messages du journal des opérations système (sysop) pour les activités d'appel, les événements vidéo/audio et les opérations système
- Code de l'établissement : varie selon le type de message
- Port par défaut : UDP 514
- Stockage des messages : jusqu'à 20 fichiers journaux rotatifs sur l'appareil CTS
Résoudre les problèmes de transfert syslog
Si vous ne recevez pas de messages syslog :
Vérifiez la connectivité réseau entre le codec CTS et l'agent Bindplane :
ping <BINDPLANE_AGENT_IP>Vérifiez que les règles de pare-feu autorisent le trafic UDP sur le port 514 (ou le port configuré) depuis les adresses IP CTS vers l'agent Bindplane.
Vérifiez que l'adresse SYSLOG externe est correctement configurée dans la mise en page de la configuration spécifique au produit CUCM.
Vérifiez que l'appareil CTS a été redémarré après l'application de la configuration syslog.
Consultez les journaux de l'interface d'administration CTS sous Dépannage > Fichiers journaux pour détecter d'éventuelles erreurs liées à syslog.
Vérifiez que l'agent Bindplane écoute le port approprié :
Linux :
sudo netstat -ulnp | grep 514Windows :
netstat -an | findstr :514
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| AuditDetails, data2 | security_result.description | Valeur issue de AuditDetails si elle n'est pas vide, sinon data2 |
| ClientAddress, LoginFrom | principal.ip | Valeur de ClientAddress si elle n'est pas vide et n'est pas une adresse IP, sinon LoginFrom |
| EventType | metadata.product_event_type | Valeur copiée directement |
| logType | metadata.description | Valeur copiée directement |
| de gravité, | security_result.severity | Définissez sur INFORMATIONAL si la gravité est comprise entre 6 et 7, sur LOW si elle est de 5, sur MEDIUM si elle est de 4, sur ERROR si elle est de 3, sur HIGH si elle est de 2, et sur CRITICAL dans les autres cas. |
| logType, EventStatus | security_result.action | Définissez sur "ALLOW" si logType == AuthenticationSucceeded ou EventStatus == Success |
| EventType, logType | metadata.event_type | Défini sur USER_RESOURCE_ACCESS si EventType == UserAccess ; USER_LOGIN si EventType == UserLogging ou si logType correspond à LOGIN ; USER_RESOURCE_UPDATE_CONTENT si EventType est dans [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; sinon, GENERIC_EVENT |
| AppID | principal.application | Valeur copiée directement |
| NodeID | target.hostname | Valeur copiée directement |
| process_id | principal.process.pid | Valeur copiée directement |
| ResourceAccessed | target.resource.name | Valeur copiée directement |
| UserID | principal.user.userid | Valeur copiée directement |
| metadata.product_name | Défini sur "CISCO_CTS" | |
| metadata.vendor_name | Défini sur "CISCO" |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.