Cisco CTS ログを収集する
このドキュメントでは、Bindplane エージェントを使用して Cisco CTS ログを Google Security Operations に取り込む方法について説明します。
Cisco TelePresence System(CTS)は、CTS 500、CTS 1000、CTS 1100、CTS 1300、CTS 3000、CTS 3200、TX シリーズ システムなどの従来のビデオ会議ハードウェア エンドポイントを指します。これらの没入型テレプレゼンス ルーム システムは、高解像度のビデオ会議機能を提供し、Cisco Unified Communications Manager(CUCM)を通じて管理されます。システムは、システム オペレーション、通話アクティビティ、トラブルシューティングの syslog メッセージを生成します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Cisco TelePresence System 間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Cisco Unified Communications Manager(CUCM)への管理者権限
- Cisco TelePresence System Administration インターフェースへの管理者権限
- UDP ポート 514(または構成されたポート)での CTS コーデックから Bindplane エージェントへのネットワーク接続
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_cts: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CISCO_CTS raw_log_field: body service: pipelines: logs/cts_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_cts各プレースホルダを次のように置き換えます。
レシーバーの構成:
- 受信側は UDP syslog に
udplogを使用します(CTS デバイスの標準) listen_addressが0.0.0.0:514に設定され、UDP ポート 514 のすべてのインターフェースでリッスンする- 非 root として実行されている Linux システムの場合、ポートを
1514以上に変更します。
- 受信側は UDP syslog に
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:YOUR_CUSTOMER_IDをcustomer IDに置き換えます。詳細については、Google SecOps の顧客 ID を取得するをご覧ください。endpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type:CISCO_CTSに設定します(完全一致が必要です)。
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cisco CTS syslog 転送を構成する
Cisco TelePresence System(CTS)の syslog 転送は、Cisco Unified Communications Manager(CUCM)を介して構成されます。外部 Syslog アドレスは、各 CTS デバイスのプロダクト固有の構成レイアウトで構成する必要があります。
CUCM で外部 syslog アドレスを構成する
- ウェブブラウザを使用して Cisco Unified Communications Manager Administration インターフェースにログインします。
- [デバイス] > [スマートフォン] に移動します。
- 検索機能を使用して、Cisco TelePresence System デバイスを見つけます。
- デバイス名をクリックして、[Phone Configuration] ウィンドウを開きます。
- [Product Specific Configuration Layout] セクションまで下にスクロールします。
- [外部 SYSLOG アドレス] フィールドを探します。
[外部 SYSLOG アドレス] フィールドに、次のいずれかの形式で syslog サーバーのアドレスを入力します。
- IP アドレスのみ:
192.168.1.100(デフォルトのポート 514 を使用) - ポートを含む IP アドレス:
192.168.1.100:514 - ホスト名のみ:
bindplane-server.example.com(デフォルト ポート 514 を使用) - ポートを含むホスト名:
bindplane-server.example.com:1514
- IP アドレスのみ:
ページ下部にある [保存] をクリックして、構成を保存します。
[Apply Config] をクリックして、変更をデバイスに適用します。
[リセット] または [再起動] をクリックして CTS デバイスを再起動し、syslog 転送を有効にします。
CTS デバイスで syslog の設定を確認する
- ウェブブラウザを開き、
https://<CTS-IP-ADDRESS>の CTS 管理インターフェースに移動します。 - CUCM で構成された SSH 管理者のユーザー名とパスワードを使用してログインします。
- [Configuration] > [Network Settings] に移動します。
[Syslog Address] フィールドに Bindplane エージェントの IP アドレスまたはホスト名が表示されていることを確認します。
複数の CTS デバイスの syslog を構成する
複数の CTS デバイスがある場合は、デバイスごとに設定手順を繰り返します。
- CUCM で、[Device] > [Phone] に移動します。
- 各 CTS デバイスを検索して選択します。
- [Product Specific Configuration Layout] セクションで [External SYSLOG Address] フィールドを構成します。
- 各デバイスの設定を保存して適用します。
- 各デバイスを再起動して、syslog 転送を有効にします。
syslog メッセージが受信されていることを確認する
Bindplane エージェントのログを調べて、syslog メッセージが受信されていることを確認します。
Linux:
sudo journalctl -u observiq-otel-collector -f | grep -i ciscoWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco
Google SecOps コンソールにログインします。
[検索] に移動し、最近の CTS ログの検索クエリを実行します。
metadata.log_type = "CISCO_CTS"ログが検索結果に表示され、タイムスタンプが最新であることを確認します。
Syslog メッセージの形式
Cisco TelePresence System は、RFC 3164(BSD syslog)形式で syslog メッセージを送信します。メッセージには以下が含まれます。
- 通話アクティビティ、動画/音声イベント、システム オペレーションに関するシステム オペレーション(sysop)ログ メッセージ
- ファシリティ コード: メッセージ タイプによって異なります
- デフォルト ポート: UDP 514
- メッセージ ストレージ: CTS デバイスに最大 20 個のローテーション ログファイル
syslog 転送のトラブルシューティング
syslog メッセージが受信されない場合:
CTS コーデックから Bindplane エージェントへのネットワーク接続を確認します。
ping <BINDPLANE_AGENT_IP>ファイアウォール ルールで、CTS IP アドレスから Bindplane エージェントへのポート 514(または構成されたポート)の UDP トラフィックが許可されていることを確認します。
CUCM の [Product Specific Configuration Layout] で、[External SYSLOG Address] が正しく設定されていることを確認します。
syslog 構成の適用後に CTS デバイスが再起動されたことを確認します。
[Troubleshooting] > [Log Files] で CTS 管理インターフェースのログを調べて、syslog 関連のエラーがないか確認します。
Bindplane エージェントが正しいポートでリッスンしていることを確認します。
Linux:
sudo netstat -ulnp | grep 514Windows:
netstat -an | findstr :514
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| AuditDetails、data2 | security_result.description | AuditDetails の値(空でない場合)、それ以外の場合は data2 |
| ClientAddress、LoginFrom | principal.ip | ClientAddress の値(空ではなく、IP アドレスではない場合)。それ以外の場合は LoginFrom |
| EventType | metadata.product_event_type | 値を直接コピーしました |
| logType | metadata.description | 値を直接コピーしました |
| 重要度 | security_result.severity | 重大度が [6,7] の場合は INFORMATIONAL、5 の場合は LOW、4 の場合は MEDIUM、3 の場合は ERROR、2 の場合は HIGH、それ以外の場合は CRITICAL に設定します。 |
| logType、EventStatus | security_result.action | logType == AuthenticationSucceeded または EventStatus == Success の場合は ALLOW に設定 |
| EventType、logType | metadata.event_type | EventType == UserAccess の場合は USER_RESOURCE_ACCESS、EventType == UserLogging または logType が LOGIN と一致する場合は USER_LOGIN、EventType が [UserRoleMembershipUpdate, GeneralConfigurationUpdate] の場合は USER_RESOURCE_UPDATE_CONTENT、それ以外の場合は GENERIC_EVENT に設定します。 |
| AppID | principal.application | 値を直接コピーしました |
| NodeID | target.hostname | 値を直接コピーしました |
| process_id | principal.process.pid | 値を直接コピーしました |
| ResourceAccessed | target.resource.name | 値を直接コピーしました |
| UserID | principal.user.userid | 値を直接コピーしました |
| metadata.product_name | 「CISCO_CTS」に設定します。 | |
| metadata.vendor_name | 「CISCO」に設定 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。