Raccogli i log di Cisco Vision Dynamic Signage Director

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Cisco Vision Dynamic Signage Director in Google Security Operations utilizzando l'agente Bindplane.

Cisco Vision Dynamic Signage Director (in precedenza StadiumVision Director) è una piattaforma di gestione dei contenuti e segnaletica digitale progettata per stadi, arene e grandi strutture. Consente il controllo e la distribuzione centralizzati di contenuti multimediali a display digitali, tra cui videowall, tabelloni e menu digitali nelle reti di sedi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Cisco Vision Dynamic Signage Director
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato all'interfaccia web di Cisco Vision Dynamic Signage Director con ruolo di amministratore
Cisco Vision Dynamic Signage Director versione 6.4 o successive (il supporto syslog è stato aggiunto nella versione 6.4)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane su Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: customer ID è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows
1. Apri Prompt dei comandi o PowerShell come amministratore.
2. Esegui questo comando:
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Attendi il completamento dell'installazione.
4. Verifica l'installazione eseguendo il comando:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
1. Apri un terminale con privilegi di root o sudo.
2. Esegui questo comando:
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Attendi il completamento dell'installazione.
4. Verifica l'installazione eseguendo il comando:
```
sudo systemctl status observiq-otel-collector
```
  Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
        customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
        endpoint: <PLACEHOLDER_REGION_ENDPOINT>
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - Il ricevitore è configurato per l'ascolto sulla porta UDP 514 su tutte le interfacce di rete (0.0.0.0:514)
  - Cisco Vision Director invia messaggi syslog utilizzando il formato RFC5424 tramite UDP (trasporto RFC5426)
- Configurazione dell'esportatore:
  - <PLACEHOLDER_CREDS_FILE_PATH>: percorso completo del file di autenticazione importazione:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <PLACEHOLDER_CUSTOMER_ID>: il tuo customer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.
  - <PLACEHOLDER_REGION_ENDPOINT>: URL endpoint regionale:
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per l'elenco completo, vedi Endpoint regionali.

Configurazione di esempio

Esempio

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director
            env: production

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:
1. Esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
2. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
3. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows:
1. Scegli una delle seguenti opzioni:
  - Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console dei servizi:
    1. Premi Win+R, digita services.msc e premi Invio.
    2. Individua observIQ OpenTelemetry Collector.
    3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
2. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
3. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di syslog di Cisco Vision Dynamic Signage Director

Abilita syslog su Cisco Vision Director

Accedi all'interfaccia web di Cisco Vision Dynamic Signage Director con le credenziali di amministratore.
Vai a Configuration (Configurazione) > System Configuration (Configurazione di sistema) > Dynamic Signage Director Setting (Impostazione di Dynamic Signage Director) > Syslog Configuration (Configurazione Syslog).
Seleziona Abilita Syslog dal riquadro Proprietà di configurazione.
Fai clic su Modifica. Viene visualizzata la finestra di dialogo Modifica impostazione di configurazione.
Seleziona true dal menu a discesa.
Fai clic su Salva.

Nota: il valore predefinito per Abilita Syslog è false. Se imposti questo valore su true, Cisco Vision Director può inviare i file di log di sistema a un server syslog esterno.

Configura l'indirizzo IP e la porta del server syslog

Nella stessa sezione Configurazione Syslog, seleziona IP e porta del server Syslog.
Fai clic su Modifica. Viene visualizzata la finestra di dialogo Modifica configurazione.
Nel campo Valore, inserisci l'indirizzo IP e la porta dell'host dell'agente Bindplane nel formato IP_ADDRESS:PORT.
- Ad esempio: 192.168.1.100:514
- Sostituisci 192.168.1.100 con l'indirizzo IP effettivo dell'host dell'agente Bindplane
- Utilizza la porta 514 per corrispondere alla configurazione dell'agente Bindplane
Fai clic su Salva.
Verifica che l'indirizzo IP e la porta ora vengano visualizzati nel campo IP e porta del server Syslog.

Nota: Cisco Vision Director inoltra i file di log di sistema utilizzando il formato RFC5424 (il formato più recente per i messaggi syslog) tramite il trasporto UDP (RFC5426).

(Facoltativo) Abilitare l'inoltro di syslog della DMP tramite Director

Se vuoi inoltrare i log di sistema di Digital Media Player (DMP) tramite Cisco Vision Director al server syslog esterno:

Nella sezione Syslog Configuration (Configurazione Syslog), seleziona Enable DMP Syslog through Director (Attiva Syslog DMP tramite Director).
Fai clic su Modifica. Viene visualizzata la finestra di dialogo Modifica impostazione di configurazione.
Modifica il Valore in true.
Fai clic su Salva.

Nota :questa impostazione consente di inoltrare i file di log di sistema DMP al server syslog esterno tramite Cisco Vision Director. Il valore predefinito è false.

Verificare la configurazione di Syslog

Dopo aver salvato la configurazione, verifica che i log vengano inviati all'agente Bindplane.

Controlla i log dell'agente Bindplane per i messaggi syslog in arrivo:

Linux:

sudo journalctl -u observiq-otel-collector -f

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Dovresti visualizzare voci di log che indicano la ricezione e l'inoltro riusciti dei messaggi syslog di Cisco Vision Director.

Risorse di configurazione aggiuntive

Per ulteriori informazioni sulla configurazione di syslog di Cisco Vision Dynamic Signage Director, consulta la seguente documentazione di Cisco:

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
intem_host	intermediary.hostname	Nome host del dispositivo intermediario
desc, data	metadata.description	Descrizione aggiuntiva dell'evento
	metadata.event_type	Tipo di evento rappresentato dalla voce di log
event_category	metadata.product_event_type	Tipo di evento specifico per il prodotto
	network.application_protocol	Protocollo applicativo utilizzato nella connessione
metodo	network.http.method	Metodo HTTP utilizzato nella richiesta
risposta	network.http.response_code	Codice risposta HTTP
user_agent	network.http.user_agent	Stringa dello user agent dalla richiesta HTTP
ses	network.session_id	Identificatore per la sessione di rete
applicazione	principal.application	Applicazione associata al soggetto
prin_ip	principal.ip	Indirizzo IP associato al principal
pid	principal.process.pid	ID processo dell'entità
acct	principal.user.userid	ID utente dell'entità
action_result	security_result.action	Azione intrapresa dal sistema di sicurezza
res, task	security_result.action_details	Dettagli dell'azione di sicurezza
msg_data, desc	security_result.description	Descrizione del risultato di sicurezza
grantors, method_name, type, name, count, m1_rate, m5_rate, m15_rate, mean_rate, rate_unit, duration_unit	security_result.detection_fields	Campi aggiuntivi relativi al rilevamento
gravità	security_result.severity	Livello di gravità del risultato di sicurezza
op, act_detail	security_result.summary	Riepilogo del risultato di sicurezza
exe, ENV	target.file.full_path	Percorso completo del file di destinazione
COMANDO	target.process.command_line	Riga di comando del processo di destinazione
path, url	target.url	URL associato al target
UTENTE	target.user.userid	ID utente della destinazione

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.