Protokolle von Cisco Vision Dynamic Signage Director erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Vision Dynamic Signage Director-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Cisco Vision Dynamic Signage Director (früher StadiumVision Director) ist eine Plattform für digitale Beschilderung und Content-Management, die für Stadien, Arenen und große Veranstaltungsorte entwickelt wurde. Es ermöglicht die zentrale Steuerung und Verteilung von Multimedia-Inhalten auf digitalen Displays, einschließlich Videowänden, Anzeigetafeln und digitalen Menüboards in Veranstaltungsortnetzwerken.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem Cisco Vision Dynamic Signage Director-Server
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf die Cisco Vision Dynamic Signage Director-Weboberfläche mit Administratorrolle
Cisco Vision Dynamic Signage Director Release 6.4 oder höher (Syslog-Unterstützung wurde in Release 6.4 hinzugefügt)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die customer ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau
1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
2. Führen Sie dazu diesen Befehl aus:
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Warten Sie, bis die Installation abgeschlossen ist.
4. Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
2. Führen Sie dazu diesen Befehl aus:
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Warten Sie, bis die Installation abgeschlossen ist.
4. Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
  Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
        customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
        endpoint: <PLACEHOLDER_REGION_ENDPOINT>
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - Der Empfänger ist so konfiguriert, dass er an UDP-Port 514 auf allen Netzwerkschnittstellen (0.0.0.0:514) empfangsbereit ist.
  - Cisco Vision Director sendet Syslog-Nachrichten im RFC5424-Format über UDP (RFC5426-Transport).
- Exporter-Konfiguration:
  - <PLACEHOLDER_CREDS_FILE_PATH>: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <PLACEHOLDER_CUSTOMER_ID>: Ihre customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.
  - <PLACEHOLDER_REGION_ENDPOINT>: Regionale Endpunkt-URL:
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsbeispiel

Beispiel

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director
            env: production

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:
1. Führen Sie dazu diesen Befehl aus:
```
sudo systemctl restart observiq-otel-collector
```
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
3. Logs auf Fehler prüfen:
```
sudo journalctl -u observiq-otel-collector -f
```
So starten Sie den Bindplane-Agent unter Windows neu:
1. Wählen Sie eine der folgenden Optionen aus:
  - Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Services-Konsole:
    1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
    2. Suchen Sie nach observIQ OpenTelemetry Collector.
    3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
3. Logs auf Fehler prüfen:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für Cisco Vision Dynamic Signage Director konfigurieren

Syslog in Cisco Vision Director aktivieren

Melden Sie sich mit Administratoranmeldedaten in der Weboberfläche von Cisco Vision Dynamic Signage Director an.
Gehen Sie zu Konfiguration > Systemkonfiguration > Dynamic Signage Director-Einstellung > Syslog-Konfiguration.
Wählen Sie im Bereich „Konfigurationseigenschaften“ die Option Syslog aktivieren aus.
Klicken Sie auf Bearbeiten. Das Dialogfeld „Konfigurationseinstellung bearbeiten“ wird angezeigt.
Wählen Sie im Drop-down-Menü true aus.
Klicken Sie auf Speichern.

Hinweis :Der Standardwert für „Syslog aktivieren“ ist false. Wenn Sie diese Option auf true festlegen, kann Cisco Vision Director Systemprotokolldateien an einen externen Syslog-Server senden.

IP-Adresse und Port des Syslog-Servers konfigurieren

Wählen Sie im selben Abschnitt Syslog Configuration (Syslog-Konfiguration) die Option Syslog Server IP & Port (IP-Adresse und Port des Syslog-Servers) aus.
Klicken Sie auf Bearbeiten. Das Dialogfeld „Konfiguration bearbeiten“ wird angezeigt.
Geben Sie im Feld Value (Wert) die IP-Adresse und den Port des Bindplane-Agent-Hosts im Format IP_ADDRESS:PORT ein.
- Beispiel: 192.168.1.100:514
- Ersetzen Sie 192.168.1.100 durch die tatsächliche IP-Adresse des Bindplane-Agent-Hosts.
- Verwenden Sie Port 514, um die Bindplane-Agent-Konfiguration abzugleichen.
Klicken Sie auf Speichern.
Prüfen Sie, ob die IP-Adresse und der Port jetzt im Feld Syslog Server IP & Port (IP-Adresse und Port des Syslog-Servers) angezeigt werden.

Hinweis :Cisco Vision Director leitet Systemprotokolldateien im RFC5424-Format (aktuelles Syslog-Nachrichtenformat) über UDP-Transport (RFC5426) weiter.

DMP-Syslog-Weiterleitung über Director aktivieren (optional)

So leiten Sie DMP-Systemprotokolle (Digital Media Player) über Cisco Vision Director an den externen Syslog-Server weiter:

Wählen Sie im Abschnitt Syslog-Konfiguration die Option DMP-Syslog über Director aktivieren aus.
Klicken Sie auf Bearbeiten. Das Dialogfeld „Konfigurationseinstellung bearbeiten“ wird angezeigt.
Ändern Sie den Wert in true.
Klicken Sie auf Speichern.

Hinweis :Mit dieser Einstellung können DMP-Systemprotokolldateien über Cisco Vision Director an den externen Syslog-Server weitergeleitet werden. Der Standardwert ist false.

Syslog-Konfiguration prüfen

Prüfen Sie nach dem Speichern der Konfiguration, ob Logs an den BindPlane-Agent gesendet werden.

Prüfen Sie die BindPlane-Agentenlogs auf eingehende Syslog-Nachrichten:

Linux:

sudo journalctl -u observiq-otel-collector -f

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Sie sollten Logeinträge sehen, die den erfolgreichen Empfang und die Weiterleitung von Cisco Vision Director-Syslog-Meldungen angeben.

Zusätzliche Konfigurationsressourcen

Weitere Informationen zur Syslog-Konfiguration von Cisco Vision Dynamic Signage Director finden Sie in der folgenden Cisco-Dokumentation:

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
intem_host	intermediary.hostname	Hostname des Vermittlungsgeräts
desc, data	metadata.description	Zusätzliche Beschreibung des Ereignisses
	metadata.event_type	Art des Ereignisses, das durch den Logeintrag dargestellt wird
event_category	metadata.product_event_type	Produktspezifischer Ereignistyp
	network.application_protocol	In der Verbindung verwendetes Anwendungsprotokoll
method	network.http.method	In der Anfrage verwendete HTTP-Methode
Antwort	network.http.response_code	HTTP-Antwortcode
user_agent	network.http.user_agent	User-Agent-String aus der HTTP-Anfrage
ses	network.session_id	Kennung für die Netzwerksitzung
Anwendung	principal.application	Anwendung, die dem Prinzipal zugeordnet ist
prin_ip	principal.ip	IP-Adresse, die mit dem Prinzipal verknüpft ist
pid	principal.process.pid	Prozess-ID des Prinzipal
Konto	principal.user.userid	Nutzer-ID des Prinzipal
action_result	security_result.action	Vom Sicherheitssystem ergriffene Maßnahmen
res, task	security_result.action_details	Details zur Sicherheitsaktion
msg_data, desc	security_result.description	Beschreibung des Sicherheitsergebnisses
grantors, method_name, type, name, count, m1_rate, m5_rate, m15_rate, mean_rate, rate_unit, duration_unit	security_result.detection_fields	Zusätzliche Felder im Zusammenhang mit der Erkennung
die Ausprägung	security_result.severity	Schweregrad des Sicherheitsergebnisses
op, act_detail	security_result.summary	Zusammenfassung des Sicherheitsergebnisses
exe, ENV	target.file.full_path	Vollständiger Pfad zur Zieldatei
COMMAND	target.process.command_line	Befehlszeile des Zielprozesses
path, url	target.url	Mit dem Ziel verknüpfte URL
NUTZER	target.user.userid	Nutzer-ID des Ziels

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten