Coletar registros do Cisco CTS

Compatível com:

Este documento explica como ingerir registros do Cisco CTS no Google Security Operations usando o agente do Bindplane.

O Cisco TelePresence System (CTS) se refere a endpoints de hardware de videoconferência legados, incluindo os sistemas CTS 500, CTS 1000, CTS 1100, CTS 1300, CTS 3000, CTS 3200 e da série TX. Esses sistemas de sala de telepresença imersiva oferecem recursos de videoconferência em alta definição e são gerenciados pelo Cisco Unified Communications Manager (CUCM). Os sistemas geram mensagens do syslog para operações do sistema, atividades de chamada e solução de problemas.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o Cisco TelePresence System
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso administrativo ao Cisco Unified Communications Manager (CUCM)
  • Acesso administrativo à interface de administração do sistema Cisco TelePresence
  • Conectividade de rede do codec CTS para o agente do Bindplane na porta UDP 514 (ou porta configurada)

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.

  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

  • Instalação do Windows

    1. Abra o prompt de comando ou o PowerShell como administrador.

    2. Execute este comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sc query observiq-otel-collector

      O serviço vai aparecer como EM EXECUÇÃO.

  • Instalação do Linux

    1. Abra um terminal com privilégios de root ou sudo.

    2. Execute este comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sudo systemctl status observiq-otel-collector

      O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  1. Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_cts:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_CTS
        raw_log_field: body

service:
    pipelines:
        logs/cts_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_cts

  2. Substitua os seguintes marcadores de posição:

    • Configuração do receptor:

      • O receptor usa udplog para syslog UDP (padrão para dispositivos CTS).
      • listen_address está definido como 0.0.0.0:514 para detectar todas as interfaces na porta UDP 514
      • Para sistemas Linux executados como não raiz, mude a porta para 1514 ou mais recente.

    • Configuração do exportador:

      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: substitua YOUR_CUSTOMER_ID por seu customer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.
      • endpoint: URL do endpoint regional:
        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulte a lista completa em Endpoints regionais.
      • log_type: defina como CISCO_CTS (é necessária uma correspondência exata)

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux:

    1. Execute este comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    3. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows:

    1. Escolha uma das seguintes opções:

      • Prompt de comando ou PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.
      3. Clique com o botão direito do mouse e selecione Reiniciar.

    2. Verifique se o serviço está em execução:

      sc query observiq-otel-collector

    3. Verifique se há erros nos registros:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do Cisco CTS

O encaminhamento de syslog do Cisco TelePresence System (CTS) é configurado pelo Cisco Unified Communications Manager (CUCM). O endereço Syslog externo precisa ser configurado no layout de configuração específica do produto para cada dispositivo CTS.

Configurar o endereço syslog externo no CUCM

  1. Faça login na interface Cisco Unified Communications Manager Administration usando um navegador da Web.
  2. Acesse Dispositivo > Smartphone.
  3. Use a função de pesquisa para localizar seu dispositivo Cisco TelePresence System.
  4. Clique no nome do dispositivo para abrir a janela Configuração do telefone.
  5. Role para baixo até a seção Layout de configuração específico do produto.
  6. Localize o campo Endereço SYSLOG externo.

  7. No campo Endereço SYSLOG externo, insira o endereço do servidor syslog em um dos seguintes formatos:

    • Somente endereço IP: 192.168.1.100 (usa a porta padrão 514)
    • Endereço IP com porta: 192.168.1.100:514
    • Somente nome do host: bindplane-server.example.com (usa a porta padrão 514)
    • Nome do host com porta: bindplane-server.example.com:1514

  8. Clique em Salvar na parte de baixo da página para salvar a configuração.

  9. Clique em Aplicar configuração para aplicar as mudanças ao dispositivo.

  10. Clique em Redefinir ou Reiniciar para reiniciar o dispositivo CTS e ativar o encaminhamento de syslog.

Verificar a configuração do syslog no dispositivo CTS

  1. Abra um navegador da Web e acesse a interface de administração do CTS em https://<CTS-IP-ADDRESS>.
  2. Faça login com o nome de usuário e a senha de administrador do SSH configurados no CUCM.
  3. Acesse Configuração > Configurações de rede.

  4. Verifique se o campo Endereço do syslog mostra o endereço IP ou o nome do host do seu agente do Bindplane.

Configurar o syslog para vários dispositivos CTS

Se você tiver vários dispositivos CTS, repita as etapas de configuração para cada um deles:

  1. No CUCM, acesse Dispositivo > Telefone.
  2. Pesquise e selecione cada dispositivo do CTS.
  3. Configure o campo Endereço SYSLOG externo na seção Layout de configuração específico do produto.
  4. Salve e aplique a configuração em cada dispositivo.
  5. Reinicie cada dispositivo para ativar o encaminhamento de syslog.

Verificar se as mensagens do syslog estão sendo recebidas

  1. Verifique os registros do agente do Bindplane para confirmar se as mensagens do syslog estão sendo recebidas:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f | grep -i cisco

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco

  2. Faça login no console do Google SecOps.

  3. Acesse Pesquisar e execute uma consulta de pesquisa para registros recentes do CTS:

    metadata.log_type = "CISCO_CTS"

  4. Verifique se os registros estão aparecendo nos resultados da pesquisa com carimbos de data/hora recentes.

Formato das mensagens do Syslog

O Cisco TelePresence System envia mensagens syslog no formato RFC 3164 (BSD syslog). As mensagens incluem:

  • Mensagens de registro de operação do sistema (sysop) para atividades de chamada, eventos de vídeo/áudio e operações do sistema
  • Código da unidade: varia conforme o tipo de mensagem
  • Porta padrão: UDP 514
  • Armazenamento de mensagens: até 20 arquivos de registro rotativos no dispositivo CTS

Solução de problemas de encaminhamento de syslog

Se as mensagens do syslog não estiverem sendo recebidas:

  1. Verifique a conectividade de rede do codec CTS para o agente do Bindplane:

    ping <BINDPLANE_AGENT_IP>

  2. Verifique se as regras de firewall permitem o tráfego UDP na porta 514 (ou na porta configurada) dos endereços IP do CTS para o agente do Bindplane.

  3. Verifique se o endereço SYSLOG externo está configurado corretamente no layout de configuração específica do produto do CUCM.

  4. Verifique se o dispositivo CTS foi reiniciado após a aplicação da configuração do syslog.

  5. Verifique os registros da interface de administração do CTS em Solução de problemas > Arquivos de registro para encontrar erros relacionados ao syslog.

  6. Verifique se o agente do Bindplane está detectando na porta correta:

    • Linux:

      sudo netstat -ulnp | grep 514

    • Windows:

      netstat -an | findstr :514

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
AuditDetails, data2 security_result.description Valor de AuditDetails se não estiver vazio, caso contrário, data2
ClientAddress, LoginFrom principal.ip Valor de ClientAddress se não estiver vazio e não for um endereço IP. Caso contrário, LoginFrom.
EventType metadata.product_event_type Valor copiado diretamente
logType metadata.description Valor copiado diretamente
gravidade, security_result.severity Definido como INFORMATIONAL se a gravidade estiver em [6,7]; LOW se for 5; MEDIUM se for 4; ERROR se for 3; HIGH se for 2; caso contrário, CRITICAL
logType, EventStatus security_result.action Definido como ALLOW se logType == AuthenticationSucceeded ou EventStatus == Success
EventType, logType metadata.event_type Definido como USER_RESOURCE_ACCESS se EventType == UserAccess; USER_LOGIN se EventType == UserLogging ou logType corresponder a LOGIN; USER_RESOURCE_UPDATE_CONTENT se EventType estiver em [UserRoleMembershipUpdate, GeneralConfigurationUpdate]; caso contrário, GENERIC_EVENT
AppID principal.application Valor copiado diretamente
NodeID target.hostname Valor copiado diretamente
process_id principal.process.pid Valor copiado diretamente
ResourceAccessed target.resource.name Valor copiado diretamente
UserID principal.user.userid Valor copiado diretamente
metadata.product_name Definido como "CISCO_CTS"
metadata.vendor_name Definido como "CISCO"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.