Mengumpulkan log Cisco CTS

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Cisco CTS ke Google Security Operations menggunakan agen Bindplane.

Cisco TelePresence System (CTS) mengacu pada endpoint hardware konferensi video lama termasuk sistem CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200, dan TX series. Sistem ruang telepresence imersif ini menyediakan kemampuan konferensi video definisi tinggi dan dikelola melalui Cisco Unified Communications Manager (CUCM). Sistem menghasilkan pesan syslog untuk operasi sistem, aktivitas panggilan, dan pemecahan masalah.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan Cisco TelePresence System
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses administratif ke Cisco Unified Communications Manager (CUCM)
Akses administratif ke antarmuka Administrasi Sistem Cisco TelePresence
Konektivitas jaringan dari codec CTS ke agen Bindplane di port UDP 514 (atau port yang dikonfigurasi)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi pengekspor agen Bindplane.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows
1. Buka Command Prompt atau PowerShell sebagai administrator.
2. Jalankan perintah berikut:
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Tunggu hingga penginstalan selesai.
4. Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
  Layanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
1. Buka terminal dengan hak istimewa root atau sudo.
2. Jalankan perintah berikut:
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Tunggu hingga penginstalan selesai.
4. Verifikasi penginstalan dengan menjalankan:
```
sudo systemctl status observiq-otel-collector
```
  Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

Ganti placeholder berikut:
- Konfigurasi penerima:
  - Penerima menggunakan udplog untuk syslog UDP (standar untuk perangkat CTS)
  - listen_address disetel ke 0.0.0.0:514 untuk memproses semua antarmuka di port UDP 514
  - Untuk sistem Linux yang berjalan sebagai non-root, ubah port ke 1514 atau yang lebih tinggi
- Konfigurasi pengekspor:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: Ganti YOUR_CUSTOMER_ID dengan customer ID Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Tetapkan ke CISCO_CTS (pencocokan persis diperlukan)

Simpan file konfigurasi

Setelah mengedit, simpan file:

Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux:

Jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows:
1. Pilih salah satu opsi berikut:
  - Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
2. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
3. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan syslog Cisco CTS

Penerusan syslog Cisco TelePresence System (CTS) dikonfigurasi melalui Cisco Unified Communications Manager (CUCM). Alamat Syslog Eksternal harus dikonfigurasi di Tata Letak Konfigurasi Khusus Produk untuk setiap perangkat CTS.

Mengonfigurasi alamat syslog eksternal di CUCM

Login ke antarmuka Cisco Unified Communications Manager Administration menggunakan browser web.
Buka Perangkat > Ponsel.
Gunakan fungsi penelusuran untuk menemukan perangkat Cisco TelePresence System Anda.
Klik nama perangkat untuk membuka jendela Konfigurasi Telepon.
Scroll ke bawah ke bagian Tata Letak Konfigurasi Khusus Produk.
Cari kolom External SYSLOG Address.
Di kolom External SYSLOG Address, masukkan alamat server syslog dalam salah satu format berikut:
- Khusus alamat IP: 192.168.1.100 (menggunakan port default 514)
- Alamat IP dengan port: 192.168.1.100:514
- Nama host saja: bindplane-server.example.com (menggunakan port default 514)
- Nama host dengan port: bindplane-server.example.com:1514
Catatan: Alamat IP atau nama host harus mengarah ke host agen Bindplane. Port harus cocok dengan port yang dikonfigurasi dalam file config.yaml agen Bindplane (defaultnya adalah 514). Panjang maksimum kolom adalah 60 karakter.
Klik Simpan di bagian bawah halaman untuk menyimpan konfigurasi.
Klik Apply Config untuk menerapkan perubahan pada perangkat.

Catatan: Sistem akan menampilkan pesan yang menunjukkan bahwa konfigurasi sedang diterapkan. Tunggu hingga proses selesai.
Klik Reset atau Mulai Ulang untuk memulai ulang perangkat CTS dan mengaktifkan penerusan syslog.

Catatan: Selama mulai ulang, perangkat CTS tidak akan tersedia untuk panggilan. Jadwalkan mulai ulang ini selama masa pemeliharaan.

Memverifikasi konfigurasi syslog di perangkat CTS

Buka browser web dan buka antarmuka Administrasi CTS di https://<CTS-IP-ADDRESS>.
Login dengan nama pengguna dan sandi admin SSH yang dikonfigurasi di CUCM.
Buka Konfigurasi > Setelan Jaringan.
Pastikan kolom Syslog Address menampilkan alamat IP atau nama host agen Bindplane Anda.

Catatan: Kolom ini bersifat hanya baca dan mencerminkan nilai yang dikonfigurasi di CUCM.

Mengonfigurasi syslog untuk beberapa perangkat CTS

Jika Anda memiliki beberapa perangkat CTS, ulangi langkah-langkah konfigurasi untuk setiap perangkat:

Di CUCM, buka Device > Phone.
Telusuri dan pilih setiap perangkat CTS.
Konfigurasi kolom External SYSLOG Address di bagian Product Specific Configuration Layout.
Simpan dan terapkan konfigurasi untuk setiap perangkat.
Mulai ulang setiap perangkat untuk mengaktifkan penerusan syslog.

Memverifikasi bahwa pesan syslog diterima

Periksa log agen Bindplane untuk memverifikasi bahwa pesan syslog diterima:

Linux:

sudo journalctl -u observiq-otel-collector -f | grep -i cisco

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

Login ke konsol Google SecOps.
Buka Search dan jalankan kueri penelusuran untuk log CTS terbaru:
```
metadata.log_type = "CISCO_CTS"
```
Pastikan log muncul di hasil penelusuran dengan stempel waktu terbaru.

Format pesan Syslog

Cisco TelePresence System mengirim pesan syslog dalam format RFC 3164 (BSD syslog). Pesan mencakup:

Pesan log operasi sistem (sysop) untuk aktivitas panggilan, peristiwa video/audio, dan operasi sistem
Kode fasilitas: Bervariasi menurut jenis pesan
Port default: UDP 514
Penyimpanan pesan: Hingga 20 file log berputar di perangkat CTS

Memecahkan masalah penerusan syslog

Jika pesan syslog tidak diterima:

Verifikasi konektivitas jaringan dari codec CTS ke agen Bindplane:
```
ping <BINDPLANE_AGENT_IP>
```
Pastikan aturan firewall mengizinkan traffic UDP di port 514 (atau port yang dikonfigurasi) dari alamat IP CTS ke agen Bindplane.
Pastikan Alamat SYSLOG Eksternal dikonfigurasi dengan benar di Tata Letak Konfigurasi Khusus Produk CUCM.
Pastikan perangkat CTS telah dimulai ulang setelah menerapkan konfigurasi syslog.
Periksa log antarmuka Administrasi CTS di Pemecahan Masalah > File Log untuk menemukan error terkait syslog.
Pastikan agen Bindplane memproses di port yang benar:
- Linux:
```
sudo netstat -ulnp | grep 514
```
- Windows:
```
netstat -an | findstr :514
```

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
AuditDetails, data2	security_result.description	Nilai dari AuditDetails jika tidak kosong, atau data2
ClientAddress, LoginFrom	principal.ip	Nilai dari ClientAddress jika tidak kosong dan bukan alamat IP, atau LoginFrom
EventType	metadata.product_event_type	Nilai disalin secara langsung
logType	metadata.description	Nilai disalin secara langsung
tingkat keseriusan,	security_result.severity	Ditetapkan ke INFORMATIONAL jika tingkat keparahan dalam [6,7]; LOW jika 5; MEDIUM jika 4; ERROR jika 3; HIGH jika 2; jika tidak, CRITICAL
logType, EventStatus	security_result.action	Ditetapkan ke ALLOW jika logType == AuthenticationSucceeded atau EventStatus == Success
EventType, logType	metadata.event_type	Ditetapkan ke USER_RESOURCE_ACCESS jika EventType == UserAccess; USER_LOGIN jika EventType == UserLogging atau logType cocok dengan LOGIN; USER_RESOURCE_UPDATE_CONTENT jika EventType in [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; atau GENERIC_EVENT
AppID	principal.application	Nilai disalin secara langsung
NodeID	target.hostname	Nilai disalin secara langsung
process_id	principal.process.pid	Nilai disalin secara langsung
ResourceAccessed	target.resource.name	Nilai disalin secara langsung
UserID	principal.user.userid	Nilai disalin secara langsung
	metadata.product_name	Tetapkan ke "CISCO_CTS"
	metadata.vendor_name	Ditetapkan ke "CISCO"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.