Coletar registros do Cisco Vision Dynamic Signage Director

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Cisco Vision Dynamic Signage Director no Google Security Operations usando o agente do Bindplane.

O Cisco Vision Dynamic Signage Director (antigo StadiumVision Director) é uma plataforma de sinalização digital e gerenciamento de conteúdo projetada para estádios, arenas e grandes locais. Ele permite o controle e a distribuição centralizados de conteúdo multimídia para telas digitais, incluindo videowalls, placares e cardápios digitais em redes de locais.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o servidor do Cisco Vision Dynamic Signage Director
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado à interface da Web do Cisco Vision Dynamic Signage Director com a função de administrador
Cisco Vision Dynamic Signage Director versão 6.4 ou mais recente (o suporte a syslog foi adicionado na versão 6.4)

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o customer ID é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows
1. Abra o prompt de comando ou o PowerShell como administrador.
2. Execute este comando:
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. Aguarde a conclusão da instalação.
4. Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
1. Abra um terminal com privilégios de root ou sudo.
2. Execute este comando:
```
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
```
3. Aguarde a conclusão da instalação.
4. Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
  O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
        customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
        endpoint: <PLACEHOLDER_REGION_ENDPOINT>
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Substitua os seguintes marcadores de posição:
- Configuração do receptor:
  - O receptor está configurado para detectar a porta UDP 514 em todas as interfaces de rede (0.0.0.0:514).
  - O Cisco Vision Director envia mensagens syslog usando o formato RFC5424 por UDP (transporte RFC5426).
- Configuração do exportador:
  - <PLACEHOLDER_CREDS_FILE_PATH>: caminho completo para o arquivo de autenticação de ingestão:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - <PLACEHOLDER_CUSTOMER_ID>: seu customer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.
  - <PLACEHOLDER_REGION_ENDPOINT>: URL do endpoint regional:
    - EUA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulte a lista completa em Endpoints regionais.

Exemplo de configuração

Exemplo

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director
            env: production

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

Linux: pressione Ctrl+O, Enter e Ctrl+X.
Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux:

Execute este comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

sudo journalctl -u observiq-otel-collector -f

Para reiniciar o agente do Bindplane em Windows:
1. Escolha uma das seguintes opções:
  - Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console de serviços:
    1. Pressione Win+R, digite services.msc e pressione Enter.
    2. Localize o Coletor do OpenTelemetry da observIQ.
    3. Clique com o botão direito do mouse e selecione Reiniciar.
2. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
3. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento syslog do Cisco Vision Dynamic Signage Director

Ativar o syslog no Cisco Vision Director

Faça login na interface da Web do Cisco Vision Dynamic Signage Director com credenciais de administrador.
Acesse Configuração > Configuração do sistema > Configuração do Dynamic Signage Director > Configuração do Syslog.
Selecione Ativar Syslog no painel "Propriedades de configuração".
Clique em Editar. A caixa de diálogo "Editar configuração" vai aparecer.
Selecione true no menu suspenso.
Clique em Salvar.

Observação: o valor padrão de "Ativar Syslog" é false. Definir como true permite que o Cisco Vision Director envie arquivos de log do sistema para um servidor syslog externo.

Configurar o endereço IP e a porta do servidor syslog

Na mesma seção Configuração do Syslog, selecione IP e porta do servidor Syslog.
Clique em Editar. A caixa de diálogo "Editar configuração" vai aparecer.
No campo Valor, insira o endereço IP e a porta do host do agente Bindplane no formato IP_ADDRESS:PORT.
- Por exemplo: 192.168.1.100:514
- Substitua 192.168.1.100 pelo endereço IP real do host do agente do Bindplane.
- Use a porta 514 para corresponder à configuração do agente do Bindplane.
Clique em Salvar.
Verifique se o endereço IP e a porta agora aparecem no campo IP e porta do servidor Syslog.

Observação: o Cisco Vision Director encaminha arquivos de registro do sistema usando o formato RFC5424 (formato de mensagem syslog mais recente) pelo transporte UDP (RFC5426).

Ativar o encaminhamento de syslog da DMP pelo Director (opcional)

Se você quiser encaminhar os registros do sistema do Digital Media Player (DMP) pelo Cisco Vision Director para o servidor syslog externo:

Na seção Configuração do Syslog, selecione Ativar o Syslog da DMP pelo Director.
Clique em Editar. A caixa de diálogo "Editar configuração" vai aparecer.
Mude o Valor para true.
Clique em Salvar.

Observação: essa configuração permite que os arquivos de registro do sistema DMP sejam encaminhados para o servidor syslog externo pelo Cisco Vision Director. O valor padrão é false.

Verificar a configuração do syslog

Depois de salvar a configuração, verifique se os registros estão sendo enviados para o agente do Bindplane.

Verifique os registros do agente do Bindplane para mensagens syslog recebidas:

Linux:

sudo journalctl -u observiq-otel-collector -f

Windows:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Você vai ver entradas de registro indicando o recebimento e encaminhamento bem-sucedidos de mensagens syslog do Cisco Vision Director.

Outros recursos de configuração

Para mais informações sobre a configuração do syslog do Cisco Vision Dynamic Signage Director, consulte a seguinte documentação da Cisco:

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
intem_host	intermediary.hostname	Nome do host do dispositivo intermediário
desc, data	metadata.description	Descrição adicional do evento
	metadata.event_type	Tipo de evento representado pela entrada de registro
event_category	metadata.product_event_type	Tipo de evento específico do produto
	network.application_protocol	Protocolo de aplicativo usado na conexão.
método	network.http.method	Método HTTP usado na solicitação
resposta	network.http.response_code	Código de resposta HTTP
user_agent	network.http.user_agent	String do user agent da solicitação HTTP.
ses	network.session_id	Identificador da sessão de rede.
aplicativo	principal.application	Aplicativo associado ao principal
prin_ip	principal.ip	Endereço IP associado à principal
pid	principal.process.pid	ID do processo do principal
acct	principal.user.userid	ID do usuário do principal
action_result	security_result.action	Ação realizada pelo sistema de segurança
res, task	security_result.action_details	Detalhes da ação de segurança
msg_data, desc	security_result.description	Descrição do resultado de segurança
grantors, method_name, type, name, count, m1_rate, m5_rate, m15_rate, mean_rate, rate_unit, duration_unit	security_result.detection_fields	Outros campos relacionados à detecção
gravidade,	security_result.severity	Nível de gravidade do resultado de segurança
op, act_detail	security_result.summary	Resumo do resultado de segurança
exe, ENV	target.file.full_path	Caminho completo para o arquivo de destino
COMMAND	target.process.command_line	Linha de comando do processo de destino
path, url	target.url	URL associado ao destino
USUÁRIO	target.user.userid	ID do usuário do destino

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.