Cisco Vision Dynamic Signage Director のログを収集する
このドキュメントでは、Bindplane エージェントを使用して Cisco Vision Dynamic Signage Director ログを Google Security Operations に取り込む方法について説明します。
Cisco Vision Dynamic Signage Director(旧 StadiumVision Director)は、スタジアム、アリーナ、大規模会場向けに設計されたデジタル サイネージとコンテンツ管理プラットフォームです。これにより、会場ネットワーク全体で、マルチメディア コンテンツをデジタル ディスプレイ(ビデオウォール、スコアボード、デジタル メニューボードなど)に一元的に制御して配信できます。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Cisco Vision Dynamic Signage Director サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- 管理者ロールによる Cisco Vision Dynamic Signage Director ウェブ インターフェースへの特権アクセス
- Cisco Vision Dynamic Signage Director リリース 6.4 以降(syslog サポートはリリース 6.4 で追加されました)
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_vision: compression: gzip creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>' customer_id: '<PLACEHOLDER_CUSTOMER_ID>' endpoint: <PLACEHOLDER_REGION_ENDPOINT> log_type: CISCO_STADIUMVISION raw_log_field: body ingestion_labels: source: cisco_vision_director service: pipelines: logs/cisco_vision_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_vision各プレースホルダを次のように置き換えます。
レシーバーの構成:
- 受信側は、すべてのネットワーク インターフェース(
0.0.0.0:514)の UDP ポート514でリッスンするように構成されています。 - Cisco Vision Director は、UDP(RFC5426 トランスポート)経由で RFC5424 形式を使用して syslog メッセージを送信します。
- 受信側は、すべてのネットワーク インターフェース(
エクスポータの構成:
<PLACEHOLDER_CREDS_FILE_PATH>: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<PLACEHOLDER_CUSTOMER_ID>:customer ID。詳細については、Google SecOps の顧客 ID を取得するをご覧ください。<PLACEHOLDER_REGION_ENDPOINT>: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成の例
例
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_vision: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: CISCO_STADIUMVISION raw_log_field: body ingestion_labels: source: cisco_vision_director env: production service: pipelines: logs/cisco_vision_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_vision
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cisco Vision Dynamic Signage Director の syslog 転送を構成する
Cisco Vision Director で syslog を有効にする
- 管理者認証情報を使用して Cisco Vision Dynamic Signage Director ウェブ インターフェースにログインします。
- [Configuration] > [System Configuration] > [Dynamic Signage Director Setting] > [Syslog Configuration] に移動します。
- [Configuration Properties] パネルで [Enable Syslog] を選択します。
- [編集] をクリックします。[構成設定の編集] ダイアログ ボックスが表示されます。
- プルダウン メニューから [true] を選択します。
[保存] をクリックします。
syslog サーバーの IP アドレスとポートを構成する
- 同じ [Syslog Configuration] セクションで、[Syslog Server IP & Port] を選択します。
- [編集] をクリックします。[構成を編集] ダイアログ ボックスが表示されます。
- [値] フィールドに、Bindplane エージェント ホストの IP アドレスとポートを
IP_ADDRESS:PORT形式で入力します。- 例:
192.168.1.100:514 192.168.1.100は、Bindplane エージェント ホストの実際の IP アドレスに置き換えます。- Bindplane エージェントの構成と一致するようにポート
514を使用する
- 例:
- [保存] をクリックします。
[Syslog Server IP & Port] フィールドに IP アドレスとポートが表示されていることを確認します。
Director を介して DMP syslog 転送を有効にする(省略可)
Digital Media Player(DMP)システムログを Cisco Vision Director 経由で外部 syslog サーバーに転送する場合は、次の手順を行います。
- [Syslog Configuration] セクションで、[Enable DMP Syslog through Director] を選択します。
- [編集] をクリックします。[構成設定の編集] ダイアログ ボックスが表示されます。
- [値] を [true] に変更します。
[保存] をクリックします。
syslog の構成を確認する
- 構成を保存したら、ログが Bindplane エージェントに送信されていることを確認します。
Bindplane エージェントのログで受信 syslog メッセージを確認します。
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cisco Vision Director の syslog メッセージの受信と転送が成功したことを示すログエントリが表示されます。
その他の構成リソース
Cisco Vision Dynamic Signage Director の syslog 構成の詳細については、次の Cisco のドキュメントをご覧ください。
- Cisco Vision Dynamic Signage Director リリース 6.4 のリリースノート
- Cisco Vision Dynamic Signage Director 管理ガイド リリース 6.4
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| intem_host | intermediary.hostname | 仲介デバイスのホスト名 |
| desc、data | metadata.description | イベントの追加説明 |
| metadata.event_type | ログエントリが表すイベントのタイプ | |
| event_category | metadata.product_event_type | プロダクト固有のイベントタイプ |
| network.application_protocol | 接続で使用されるアプリケーション プロトコル | |
| method | network.http.method | リクエストで使用される HTTP メソッド |
| レスポンス | network.http.response_code | HTTP レスポンス コード |
| user_agent | network.http.user_agent | HTTP リクエストのユーザー エージェント文字列 |
| ses | network.session_id | ネットワーク セッションの識別子 |
| アプリケーション | principal.application | プリンシパルに関連付けられたアプリケーション |
| prin_ip | principal.ip | プリンシパルに関連付けられた IP アドレス |
| pid | principal.process.pid | プリンシパルのプロセス ID |
| acct | principal.user.userid | プリンシパルのユーザー ID |
| action_result | security_result.action | セキュリティ システムによって実行されたアクション |
| res、task | security_result.action_details | セキュリティ アクションの詳細 |
| msg_data, desc | security_result.description | セキュリティ結果の説明 |
| grantors、method_name、type、name、count、m1_rate、m5_rate、m15_rate、mean_rate、rate_unit、duration_unit | security_result.detection_fields | 検出に関連する追加フィールド |
| 重要度 | security_result.severity | セキュリティ結果の重大度レベル |
| op、act_detail | security_result.summary | セキュリティ結果の概要 |
| exe、ENV | target.file.full_path | ターゲット ファイルのフルパス |
| COMMAND | target.process.command_line | ターゲット プロセスのコマンドライン |
| path、url | target.url | ターゲットに関連付けられた URL |
| USER | target.user.userid | ターゲットのユーザー ID |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。