Collecter les journaux Cisco Vision Dynamic Signage Director

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Cisco Vision Dynamic Signage Director dans Google Security Operations à l'aide de l'agent Bindplane.

Cisco Vision Dynamic Signage Director (anciennement StadiumVision Director) est une plate-forme de signalétique numérique et de gestion de contenu conçue pour les stades, les arènes et les grands lieux. Il permet de contrôler et de distribuer de manière centralisée du contenu multimédia sur des écrans numériques, y compris des murs d'images, des tableaux d'affichage et des menus numériques dans les réseaux de sites.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Cisco Vision Dynamic Signage Director
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'interface Web de Cisco Vision Dynamic Signage Director avec le rôle d'administrateur
Cisco Vision Dynamic Signage Director version 6.4 ou ultérieure (la compatibilité avec Syslog a été ajoutée dans la version 6.4)

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : Le customer ID est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres
1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
2. Exécutez la commande suivante :
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Attendez la fin de l'installation.
4. Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
1. Ouvrez un terminal avec les droits root ou sudo.
2. Exécutez la commande suivante :
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Attendez la fin de l'installation.
4. Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
  Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
        customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
        endpoint: <PLACEHOLDER_REGION_ENDPOINT>
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - Le récepteur est configuré pour écouter sur le port UDP 514 sur toutes les interfaces réseau (0.0.0.0:514).
  - Cisco Vision Director envoie des messages syslog au format RFC5424 via UDP (transport RFC5426).
- Configuration de l'exportateur :
  - <PLACEHOLDER_CREDS_FILE_PATH> : chemin d'accès complet au fichier d'authentification de l'ingestion :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <PLACEHOLDER_CUSTOMER_ID> : votre customer ID. Pour en savoir plus, consultez Obtenir l'ID client Google SecOps.
  - <PLACEHOLDER_REGION_ENDPOINT> : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Exemple de configuration

Exemple

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director
            env: production

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux :
1. Exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
2. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows :
1. Choisissez l'une des options suivantes :
  - Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services :
    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez observIQ OpenTelemetry Collector.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.
2. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog de Cisco Vision Dynamic Signage Director

Activer syslog sur Cisco Vision Director

Connectez-vous à l'interface Web Cisco Vision Dynamic Signage Director avec des identifiants d'administrateur.
Accédez à Configuration > Configuration du système > Paramètre Dynamic Signage Director > Configuration Syslog.
Sélectionnez Activer Syslog dans le panneau "Propriétés de configuration".
Cliquez sur Modifier. La boîte de dialogue "Modifier le paramètre de configuration" s'affiche.
Sélectionnez true dans le menu déroulant.
Cliquez sur Enregistrer.

Remarque : La valeur par défaut de l'option "Activer Syslog" est false. Si vous définissez cette option sur true, Cisco Vision Director peut envoyer des fichiers journaux système à un serveur syslog externe.

Configurer l'adresse IP et le port du serveur syslog

Dans la même section Configuration Syslog, sélectionnez Adresse IP et port du serveur Syslog.
Cliquez sur Modifier. La boîte de dialogue "Modifier la configuration" s'affiche.
Dans le champ Valeur, saisissez l'adresse IP et le port de l'hôte de l'agent Bindplane au format IP_ADDRESS:PORT.
- Par exemple : 192.168.1.100:514
- Remplacez 192.168.1.100 par l'adresse IP réelle de l'hôte de l'agent Bindplane.
- Utilisez le port 514 pour correspondre à la configuration de l'agent Bindplane.
Cliquez sur Enregistrer.
Vérifiez que l'adresse IP et le port apparaissent désormais dans le champ Adresse IP et port du serveur Syslog.

Remarque : Cisco Vision Director transfère les fichiers journaux système au format RFC5424 (dernier format de message syslog) via le transport UDP (RFC5426).

Activer le transfert syslog de la DMP via Director (facultatif)

Si vous souhaitez transférer les journaux système Digital Media Player (DMP) via Cisco Vision Director vers le serveur syslog externe :

Dans la section Configuration Syslog, sélectionnez Activer DMP Syslog via Director.
Cliquez sur Modifier. La boîte de dialogue "Modifier le paramètre de configuration" s'affiche.
Définissez la valeur sur true.
Cliquez sur Enregistrer.

Remarque : Ce paramètre permet de transférer les fichiers journaux du système DMP vers le serveur syslog externe via Cisco Vision Director. La valeur par défaut est false.

Vérifier la configuration syslog

Après avoir enregistré la configuration, vérifiez que les journaux sont envoyés à l'agent Bindplane.

Consultez les journaux de l'agent Bindplane pour les messages syslog entrants :

Linux :

sudo journalctl -u observiq-otel-collector -f

Windows :

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Vous devriez voir des entrées de journal indiquant que les messages syslog Cisco Vision Director ont bien été reçus et transférés.

Ressources de configuration supplémentaires

Pour en savoir plus sur la configuration syslog de Cisco Vision Dynamic Signage Director, consultez la documentation Cisco suivante :

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
intem_host	intermediary.hostname	Nom d'hôte de l'appareil intermédiaire
desc, data	metadata.description	Description supplémentaire de l'événement
	metadata.event_type	Type d'événement représenté par l'entrée de journal
event_category	metadata.product_event_type	Type d'événement spécifique au produit
	network.application_protocol	Protocole d'application utilisé dans la connexion
method	network.http.method	Méthode HTTP utilisée dans la requête
réponse	network.http.response_code	Code de réponse HTTP
user_agent	network.http.user_agent	Chaîne user-agent de la requête HTTP
ses	network.session_id	Identifiant de la session réseau
application	principal.application	Application associée au principal
prin_ip	principal.ip	Adresse IP associée au principal
pid	principal.process.pid	ID du processus du principal
acct	principal.user.userid	ID utilisateur du principal
action_result	security_result.action	Action effectuée par le système de sécurité
res, task	security_result.action_details	Détails de l'action de sécurité
msg_data, desc	security_result.description	Description du résultat de sécurité
grantors, method_name, type, name, count, m1_rate, m5_rate, m15_rate, mean_rate, rate_unit, duration_unit	security_result.detection_fields	Champs supplémentaires liés à la détection
de gravité,	security_result.severity	Niveau de gravité du résultat de sécurité
op, act_detail	security_result.summary	Résumé du résultat de sécurité
exe, ENV	target.file.full_path	Chemin d'accès complet au fichier cible
COMMAND	target.process.command_line	Ligne de commande du processus cible
path, url	target.url	URL associée à la cible
UTILISATEUR	target.user.userid	ID utilisateur de la cible

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.