Collecter les journaux Cimcor CimTrak

Compatible avec :

Ce document explique comment ingérer des journaux Cimcor CimTrak dans Google Security Operations à l'aide de l'agent Bindplane.

Cimcor CimTrak est une plate-forme de surveillance de l'intégrité des fichiers (FIM) qui permet de détecter les modifications non autorisées apportées aux fichiers, aux configurations et aux paramètres système. La plate-forme fournit des événements de surveillance de l'intégrité en temps réel avec un contexte d'investigation complet, y compris qui, quoi, quand et comment une modification s'est produite. CimTrak est compatible avec plusieurs formats de sortie de journal, y compris CEF (Common Event Format), LEEF (Log Event Extended Format) et MEF (Micro Event Format).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et Cimcor CimTrak
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console de gestion Cimcor CimTrak avec des autorisations d'administrateur

Obtenir un fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
  3. Téléchargez le fichier d'authentification d'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir un ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM > Profil.

  3. Copiez l'ID client de la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation sous Windows

  1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    L'état du service doit être RUNNING (En cours d'exécution).

Installation sous Linux

  1. Ouvrez un terminal avec des privilèges root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    L'état du service doit être active (running) (Actif (en cours d'exécution)).

Ressources d'installation supplémentaires

Pour obtenir des options d'installation supplémentaires et des informations sur le dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /opt/observiq-otel-collector/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifier le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • tcplog: type de récepteur basé sur le protocole :
      • udplog pour Syslog UDP
      • tcplog pour Syslog TCP
    • 0.0.0.0: adresse IP à écouter :
      • 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
      • Adresse IP spécifique à écouter sur une interface
    • 514 : numéro de port à écouter (par exemple, 514, 1514, 6514)

  • Configuration de l'exportateur :

    • cimtrak : nom descriptif de l'exportateur
    • creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion :
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • <customer_id> : ID client de l'étape précédente
    • endpoint: URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe: europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
      • Consultez la liste complète des points de terminaison régionaux.
    • CIMCOR : type de journal tel qu'il apparaît dans Chronicle
    • ingestion_labels : libellés facultatifs au format YAML (par exemple, env: production)

  • Configuration du pipeline :

    • cimtrak_to_chronicle : nom descriptif du pipeline

Enregistrer le fichier de configuration

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur File > Save

Redémarrer l'agent Bindplane pour appliquer les modifications

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :

    • Invite de commande ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Recherchez observIQ OpenTelemetry Collector.
      3. Effectuez un clic droit, puis sélectionnez Restart (Redémarrer).

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert Syslog de Cimcor CimTrak

  1. Connectez-vous à la console de gestion CimTrak à l'aide d'identifiants d'administrateur.
  2. Accédez à Administration > System (Administration > Système) ou aux paramètres Event Forwarding (Transfert d'événements).
  3. Recherchez la section de configuration SIEM Integration (Intégration SIEM) ou Syslog.

  4. Configurez les paramètres suivants :

    Paramètre Valeur
    Syslog server IP/hostname (Adresse IP/nom d'hôte du serveur Syslog) Saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane.
    Port Saisissez le port correspondant à la configuration du récepteur de l'agent Bindplane (par exemple, 514).
    Protocol (Protocole) Sélectionnez TCP ou UDP pour correspondre au type de récepteur Bindplane.
    Log format (Format de journal) Sélectionnez CEF, LEEF ou MEF en fonction de vos besoins.

  5. (Facultatif) Configurez un filtre pour n'envoyer que des catégories d'événements spécifiques (par exemple, uniquement les alertes critiques) ou tous les événements.

  6. Cliquez sur Save (Enregistrer) et vérifiez que les événements s'affichent dans les journaux de l'agent Bindplane.

Table de mappage UDM

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.