Cisco CTS 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane 에이전트를 사용하여 Cisco CTS 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Cisco TelePresence System (CTS)은 CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200, TX 시리즈 시스템을 비롯한 기존 화상 회의 하드웨어 엔드포인트를 의미합니다. 이러한 몰입형 원격 현장감 회의실 시스템은 고화질 화상 회의 기능을 제공하며 Cisco Unified Communications Manager (CUCM)를 통해 관리됩니다. 시스템은 시스템 작업, 통화 활동, 문제 해결을 위한 syslog 메시지를 생성합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
Bindplane 에이전트와 Cisco TelePresence System 간의 네트워크 연결
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Cisco Unified Communications Manager (CUCM)에 대한 관리 액세스
Cisco TelePresence System Administration 인터페이스에 대한 관리 액세스
UDP 포트 514 (또는 구성된 포트)에서 CTS 코덱에서 Bindplane 에이전트로의 네트워크 연결

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

참고: 이 JSON 파일에는 Bindplane 에이전트를 Google SecOps에 인증하기 위한 사용자 인증 정보가 포함되어 있습니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

참고: Bindplane 에이전트 내보내기를 구성하려면 고객 ID가 필요합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치
1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
2. 다음 명령어를 실행합니다.
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. 설치가 완료될 때까지 기다립니다.
4. 다음을 실행하여 설치를 확인합니다.
```
sc query observiq-otel-collector
```
  서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
1. 루트 또는 sudo 권한으로 터미널을 엽니다.
2. 다음 명령어를 실행합니다.
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. 설치가 완료될 때까지 기다립니다.
4. 다음을 실행하여 설치를 확인합니다.
```
sudo systemctl status observiq-otel-collector
```
  서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

다음 자리표시자를 바꿉니다.
- 수신기 구성:
  - 수신기는 UDP syslog에 udplog를 사용합니다 (CTS 기기의 표준).
  - listen_address이 0.0.0.0:514로 설정되어 UDP 포트 514의 모든 인터페이스에서 수신 대기합니다.
  - 루트가 아닌 사용자로 실행되는 Linux 시스템의 경우 포트를 1514 이상으로 변경합니다.
- 내보내기 도구 구성:
  - creds_file_path: 수집 인증 파일의 전체 경로입니다.
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: YOUR_CUSTOMER_ID을 customer ID로 바꿉니다. 자세한 내용은 Google SecOps 고객 ID 가져오기를 참고하세요.
  - endpoint: 리전 엔드포인트 URL:
    - 미국: malachiteingestion-pa.googleapis.com
    - 유럽: europe-malachiteingestion-pa.googleapis.com
    - 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
    - 전체 목록은 리전 엔드포인트를 참고하세요.
  - log_type: CISCO_CTS로 설정 (일치검색 필요)

구성 파일 저장

수정 후 파일을 저장합니다.

Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
1. 다음 명령어를 실행합니다.
```
sudo systemctl restart observiq-otel-collector
```
2. 서비스가 실행 중인지 확인합니다.
```
sudo systemctl status observiq-otel-collector
```
3. 로그에서 오류를 확인합니다.
```
sudo journalctl -u observiq-otel-collector -f
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
1. 다음 옵션 중 하나를 선택합니다.
  - 명령 프롬프트 또는 PowerShell(관리자 권한)
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 서비스 콘솔:
  1. Win+R 키를 누르고 services.msc을 입력한 다음 Enter 키를 누릅니다.
  2. observIQ OpenTelemetry Collector를 찾습니다.
  3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
2. 서비스가 실행 중인지 확인합니다.
```
sc query observiq-otel-collector
```
3. 로그에서 오류를 확인합니다.
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Cisco CTS syslog 전달 구성

Cisco TelePresence System (CTS) syslog 전달은 Cisco Unified Communications Manager (CUCM)를 통해 구성됩니다. 외부 Syslog 주소는 각 CTS 기기의 제품별 구성 레이아웃에 구성해야 합니다.

CUCM에서 외부 syslog 주소 구성

웹브라우저를 사용하여 Cisco Unified Communications Manager Administration 인터페이스에 로그인합니다.
기기 > 휴대전화로 이동합니다.
검색 기능을 사용하여 Cisco TelePresence System 기기를 찾습니다.
기기 이름을 클릭하여 휴대전화 구성 창을 엽니다.
제품별 구성 레이아웃 섹션까지 아래로 스크롤합니다.
외부 SYSLOG 주소 필드를 찾습니다.
외부 SYSLOG 주소 필드에 syslog 서버 주소를 다음 형식 중 하나로 입력합니다.
- IP 주소만: 192.168.1.100 (기본 포트 514 사용)
- 포트가 있는 IP 주소: 192.168.1.100:514
- 호스트 이름만: bindplane-server.example.com (기본 포트 514 사용)
- 포트가 있는 호스트 이름: bindplane-server.example.com:1514
참고: IP 주소 또는 호스트 이름은 Bindplane 에이전트 호스트를 가리켜야 합니다. 포트는 Bindplane 에이전트 config.yaml 파일에 구성된 포트와 일치해야 합니다 (기본값은 514). 최대 필드 길이는 60자입니다.
페이지 하단에서 저장을 클릭하여 구성을 저장합니다.
구성 적용을 클릭하여 변경사항을 기기에 적용합니다.

참고: 시스템에 구성이 적용되고 있음을 나타내는 메시지가 표시됩니다. 프로세스가 완료될 때까지 기다립니다.
재설정 또는 다시 시작을 클릭하여 CTS 기기를 다시 시작하고 syslog 전달을 활성화합니다.

참고: 다시 시작하는 동안 CTS 기기에서 전화를 걸 수 없습니다. 유지보수 기간 중에 이 다시 시작을 예약하세요.

CTS 기기에서 syslog 구성 확인

웹브라우저를 열고 https://<CTS-IP-ADDRESS>의 CTS 관리 인터페이스로 이동합니다.
CUCM에서 구성된 SSH 관리자 사용자 이름과 비밀번호로 로그인합니다.
구성 > 네트워크 설정으로 이동합니다.
Syslog Address 필드에 Bindplane 에이전트의 IP 주소 또는 호스트 이름이 표시되는지 확인합니다.

참고: 이 필드는 읽기 전용이며 CUCM에 구성된 값을 반영합니다.

여러 CTS 기기에 대해 syslog 구성

CTS 기기가 여러 대 있는 경우 각 기기에 대해 구성 단계를 반복합니다.

CUCM에서 기기 > 전화로 이동합니다.
각 CTS 기기를 검색하고 선택합니다.
제품별 구성 레이아웃 섹션에서 외부 SYSLOG 주소 필드를 구성합니다.
각 기기의 구성을 저장하고 적용합니다.
각 기기를 다시 시작하여 syslog 전달을 활성화합니다.

syslog 메시지가 수신되고 있는지 확인

Bindplane 에이전트 로그를 확인하여 syslog 메시지가 수신되고 있는지 확인합니다.

Linux:

sudo journalctl -u observiq-otel-collector -f | grep -i cisco

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

Google SecOps 콘솔에 로그인합니다.
검색으로 이동하여 최근 CTS 로그에 대한 검색어를 실행합니다.
```
metadata.log_type = "CISCO_CTS"
```
최근 타임스탬프가 있는 로그가 검색 결과에 표시되는지 확인합니다.

Syslog 메시지 형식

Cisco TelePresence System은 RFC 3164 (BSD syslog) 형식으로 syslog 메시지를 전송합니다. 메시지에는 다음이 포함됩니다.

통화 활동, 동영상/오디오 이벤트, 시스템 작업을 위한 시스템 운영자 (sysop) 로그 메시지
시설 코드: 메시지 유형에 따라 다름
기본 포트: UDP 514
메시지 저장소: CTS 기기에 최대 20개의 순환 로그 파일

syslog 전달 문제 해결

syslog 메시지가 수신되지 않는 경우 다음 단계를 따르세요.

CTS 코덱에서 Bindplane 에이전트로의 네트워크 연결을 확인합니다.
```
ping <BINDPLANE_AGENT_IP>
```
방화벽 규칙이 CTS IP 주소에서 Bindplane 에이전트로 포트 514 (또는 구성된 포트)에서 UDP 트래픽을 허용하는지 확인합니다.
CUCM 제품별 구성 레이아웃에서 외부 SYSLOG 주소가 올바르게 구성되었는지 확인합니다.
syslog 구성을 적용한 후 CTS 기기가 다시 시작되었는지 확인합니다.
문제 해결 > 로그 파일에서 CTS 관리 인터페이스 로그를 확인하여 syslog 관련 오류가 있는지 확인합니다.
Bindplane 에이전트가 올바른 포트에서 리슨하는지 확인합니다.
- Linux:
```
sudo netstat -ulnp | grep 514
```
- Windows:
```
netstat -an | findstr :514
```

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
AuditDetails, data2	security_result.description	비어 있지 않으면 AuditDetails의 값, 그렇지 않으면 data2
ClientAddress, LoginFrom	principal.ip	비어 있지 않고 IP 주소가 아닌 경우 ClientAddress의 값, 그렇지 않으면 LoginFrom
EventType	metadata.product_event_type	값이 직접 복사됨
logType	metadata.description	값이 직접 복사됨
줄이는 것을	security_result.severity	심각도가 [6,7]인 경우 INFORMATIONAL로 설정, 5인 경우 LOW, 4인 경우 MEDIUM, 3인 경우 ERROR, 2인 경우 HIGH, 그 외의 경우 CRITICAL
logType, EventStatus	security_result.action	logType == AuthenticationSucceeded 또는 EventStatus == Success인 경우 ALLOW로 설정
EventType, logType	metadata.event_type	EventType == UserAccess인 경우 USER_RESOURCE_ACCESS로 설정됩니다. EventType == UserLogging이거나 logType이 LOGIN과 일치하는 경우 USER_LOGIN으로 설정됩니다. EventType이 [UserRoleMembershipUpdate, GeneralConfigurationUpdate]에 있는 경우 USER_RESOURCE_UPDATE_CONTENT로 설정됩니다. 그 외의 경우 GENERIC_EVENT로 설정됩니다.
AppID	principal.application	값이 직접 복사됨
NodeID	target.hostname	값이 직접 복사됨
process_id	principal.process.pid	값이 직접 복사됨
ResourceAccessed	target.resource.name	값이 직접 복사됨
UserID	principal.user.userid	값이 직접 복사됨
	metadata.product_name	'CISCO_CTS'로 설정
	metadata.vendor_name	'CISCO'로 설정

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.