Raccogli i log CTS di Cisco

Supportato in:

Questo documento spiega come importare i log Cisco CTS in Google Security Operations utilizzando l'agente Bindplane.

Cisco TelePresence System (CTS) si riferisce agli endpoint hardware per videoconferenze legacy, inclusi i sistemi CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200 e della serie TX. Questi sistemi di sale di telepresenza immersiva forniscono funzionalità di videoconferenza ad alta definizione e vengono gestiti tramite Cisco Unified Communications Manager (CUCM). I sistemi generano messaggi syslog per operazioni di sistema, attività di chiamata e risoluzione dei problemi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e Cisco TelePresence System
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso amministrativo a Cisco Unified Communications Manager (CUCM)
  • Accesso amministrativo all'interfaccia di amministrazione del sistema Cisco TelePresence
  • Connettività di rete dal codec CTS all'agente Bindplane sulla porta UDP 514 (o sulla porta configurata)

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.

  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

  • Installazione di Windows

    1. Apri Prompt dei comandi o PowerShell come amministratore.

    2. Esegui questo comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sc query observiq-otel-collector

      Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

  • Installazione di Linux

    1. Apri un terminale con privilegi di root o sudo.

    2. Esegui questo comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sudo systemctl status observiq-otel-collector

      Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  1. Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

  2. Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • Il ricevitore utilizza udplog per UDP syslog (standard per i dispositivi CTS)
      • listen_address è impostato su 0.0.0.0:514 per l'ascolto su tutte le interfacce sulla porta UDP 514
      • Per i sistemi Linux in esecuzione come non root, cambia la porta in 1514 o superiore

    • Configurazione dell'esportatore:

      • creds_file_path: percorso completo del file di autenticazione importazione:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: sostituisci YOUR_CUSTOMER_ID con il tuo customer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.
      • log_type: impostato su CISCO_CTS (è richiesta la corrispondenza esatta)

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux:

    1. Esegui questo comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows:

    1. Scegli una delle seguenti opzioni:

      • Prompt dei comandi o PowerShell come amministratore:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.
      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

    2. Verifica che il servizio sia in esecuzione:

      sc query observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di Syslog Cisco CTS

L'inoltro di syslog di Cisco TelePresence System (CTS) viene configurato tramite Cisco Unified Communications Manager (CUCM). L'indirizzo Syslog esterno deve essere configurato nel layout di configurazione specifico del prodotto per ogni dispositivo CTS.

Configura l'indirizzo syslog esterno in CUCM

  1. Accedi all'interfaccia di Cisco Unified Communications Manager Administration utilizzando un browser web.
  2. Vai a Dispositivo > Telefono.
  3. Utilizza la funzione di ricerca per individuare il tuo dispositivo Cisco TelePresence System.
  4. Fai clic sul nome del dispositivo per aprire la finestra Configurazione telefono.
  5. Scorri verso il basso fino alla sezione Layout di configurazione specifico del prodotto.
  6. Individua il campo External SYSLOG Address (Indirizzo SYSLOG esterno).

  7. Nel campo External SYSLOG Address (Indirizzo SYSLOG esterno), inserisci l'indirizzo del server syslog in uno dei seguenti formati:

    • Solo indirizzo IP: 192.168.1.100 (utilizza la porta predefinita 514)
    • Indirizzo IP con porta: 192.168.1.100:514
    • Solo nome host: bindplane-server.example.com (utilizza la porta predefinita 514)
    • Nome host con porta: bindplane-server.example.com:1514

  8. Fai clic su Salva in fondo alla pagina per salvare la configurazione.

  9. Fai clic su Applica configurazione per applicare le modifiche al dispositivo.

  10. Fai clic su Reimposta o Riavvia per riavviare il dispositivo CTS e attivare l'inoltro di syslog.

Verifica la configurazione di syslog sul dispositivo CTS

  1. Apri un browser web e vai all'interfaccia di amministrazione CTS all'indirizzo https://<CTS-IP-ADDRESS>.
  2. Accedi con il nome utente e la password di amministratore SSH configurati in CUCM.
  3. Vai a Configurazione > Impostazioni di rete.

  4. Verifica che il campo Indirizzo Syslog mostri l'indirizzo IP o il nome host dell'agente Bindplane.

Configurare syslog per più dispositivi CTS

Se hai più dispositivi CTS, ripeti i passaggi di configurazione per ciascun dispositivo:

  1. In CUCM, vai a Dispositivo > Telefono.
  2. Cerca e seleziona ogni dispositivo CTS.
  3. Configura il campo Indirizzo SYSLOG esterno nella sezione Layout di configurazione specifico del prodotto.
  4. Salva e applica la configurazione per ogni dispositivo.
  5. Riavvia ogni dispositivo per attivare l'inoltro di syslog.

Verificare che i messaggi syslog vengano ricevuti

  1. Controlla i log dell'agente Bindplane per verificare che i messaggi syslog vengano ricevuti:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f | grep -i cisco

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

  2. Accedi alla console Google SecOps.

  3. Vai a Ricerca ed esegui una query di ricerca per i log CTS recenti:

    metadata.log_type = "CISCO_CTS"

  4. Verifica che i log vengano visualizzati nei risultati di ricerca con timestamp recenti.

Formato del messaggio Syslog

Cisco TelePresence System invia messaggi syslog in formato RFC 3164 (BSD syslog). I messaggi includono:

  • Messaggi di log delle operazioni di sistema (sysop) per attività di chiamata, eventi video/audio e operazioni di sistema
  • Codice struttura: varia in base al tipo di messaggio
  • Porta predefinita: UDP 514
  • Spazio di archiviazione dei messaggi: fino a 20 file di log a rotazione sul dispositivo CTS

Risoluzione dei problemi di inoltro di Syslog

Se i messaggi syslog non vengono ricevuti:

  1. Verifica la connettività di rete dal codec CTS all'agente Bindplane:

    ping <BINDPLANE_AGENT_IP>

  2. Verifica che le regole firewall consentano il traffico UDP sulla porta 514 (o sulla porta configurata) dagli indirizzi IP CTS all'agente Bindplane.

  3. Verifica che l'indirizzo SYSLOG esterno sia configurato correttamente nel layout di configurazione specifico del prodotto CUCM.

  4. Verifica che il dispositivo CTS sia stato riavviato dopo l'applicazione della configurazione syslog.

  5. Controlla i log dell'interfaccia di amministrazione CTS in Risoluzione dei problemi > File di log per eventuali errori correlati a syslog.

  6. Verifica che l'agente Bindplane sia in ascolto sulla porta corretta:

    • Linux:

      sudo netstat -ulnp | grep 514

    • Windows:

      netstat -an | findstr :514

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AuditDetails, data2 security_result.description Valore di AuditDetails se non è vuoto, altrimenti data2
ClientAddress, LoginFrom principal.ip Valore di ClientAddress se non è vuoto e non è un indirizzo IP, altrimenti LoginFrom
EventType metadata.product_event_type Valore copiato direttamente
logType metadata.description Valore copiato direttamente
gravità security_result.severity Impostato su INFORMATIONAL se la gravità è compresa tra 6 e 7; LOW se è 5; MEDIUM se è 4; ERROR se è 3; HIGH se è 2; altrimenti CRITICAL
logType, EventStatus security_result.action Imposta su ALLOW se logType == AuthenticationSucceeded o EventStatus == Success
EventType, logType metadata.event_type Impostato su USER_RESOURCE_ACCESS se EventType == UserAccess; USER_LOGIN se EventType == UserLogging o logType corrisponde a LOGIN; USER_RESOURCE_UPDATE_CONTENT se EventType in [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; altrimenti GENERIC_EVENT
AppID principal.application Valore copiato direttamente
NodeID target.hostname Valore copiato direttamente
process_id principal.process.pid Valore copiato direttamente
ResourceAccessed target.resource.name Valore copiato direttamente
UserID principal.user.userid Valore copiato direttamente
metadata.product_name Imposta su "CISCO_CTS"
metadata.vendor_name Impostato su "CISCO"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.