Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cimcor CimTrak-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cimcor CimTrak-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Cimcor CimTrak ist eine Plattform zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM), mit der unbefugte Änderungen an Dateien, Konfigurationen und Systemeinstellungen erkannt werden können. Die Plattform bietet Ereignisse zur Integritätsüberwachung in Echtzeit mit vollständigem forensischem Kontext, einschließlich Informationen dazu, wer, was, wann und wie eine Änderung vorgenommen hat. CimTrak unterstützt mehrere Log-Ausgabeformate, darunter CEF (Common Event Format), LEEF (Log Event Extended Format) und MEF (Micro Event Format).

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder ein Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und Cimcor CimTrak
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agent geöffnet sein.
Privilegierter Zugriff auf die Cimcor CimTrak-Verwaltungskonsole mit Administratorberechtigungen

Authentifizierungsdatei für die Google SecOps-Datenaufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Datenaufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

**Hinweis**: Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agent bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

**Hinweis**: Die Kundennummer ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Konfigurationsdatei suchen

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration :
- tcplog: Der Empfängertyp basiert auf dem Protokoll:
  - udplog für UDP-Syslog
  - tcplog für TCP-Syslog
- 0.0.0.0: IP-Adresse, die überwacht werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Bestimmte IP-Adresse, um eine Schnittstelle zu überwachen
- 514: Portnummer, die überwacht werden soll (z. B. 514, 1514, 6514)
Exporterkonfiguration :
- cimtrak: Beschreibender Name für den Exporter
- creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Datenaufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: Kundennummer aus dem vorherigen Schritt
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Vollständige Liste unter Regionale Endpunkte
- CIMCOR: Logtyp genau so, wie er in Chronicle angezeigt wird
- ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production)
Pipelinekonfiguration :
- cimtrak_to_chronicle: Beschreibender Name für die Pipeline

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Dienste-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Cimcor CimTrak-Syslog-Weiterleitung konfigurieren

Melden Sie sich mit Administratoranmeldedaten in der CimTrak-Verwaltungskonsole an.
Rufen Sie die Einstellungen Verwaltung > System oder Ereignisweiterleitung auf.
Suchen Sie den Konfigurationsbereich SIEM-Integration oder Syslog.

Konfigurieren Sie die folgenden Parameter:

Einstellung	Wert
Syslog-Server-IP/Hostname	Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agent-Hosts ein.
Port	Geben Sie den Port ein, der der Bindplane-Agent-Empfängerkonfiguration entspricht (z. B. `514`).
Protokoll	Wählen Sie TCP oder UDP entsprechend dem Bindplane-Empfängertyp aus.
Log format	Wählen Sie je nach Bedarf CEF, LEEF oder MEF aus.

Optional: Konfigurieren Sie einen Filter, um nur bestimmte Ereigniskategorien (z. B. nur kritische Benachrichtigungen) oder alle Ereignisse zu senden.
Klicken Sie auf Speichern und prüfen Sie, ob Ereignisse in den Bindplane-Agent-Logs angezeigt werden.

Hinweis: Die genaue UI-Navigation kann je nach CimTrak-Version variieren. Eine detaillierte Anleitung für Ihre Version finden Sie im Abschnitt „SIEM-Integration“ in der CimTrak-Produktdokumentation oder wenden Sie sich an den Cimcor-Support.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten