Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Cimcor CimTrak

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Cimcor CimTrak in Google Security Operations utilizzando l'agente Bindplane.

Cimcor CimTrak è una piattaforma di monitoraggio dell'integrità dei file (FIM) per rilevare modifiche non autorizzate a file, configurazioni e impostazioni di sistema. La piattaforma fornisce eventi di monitoraggio dell'integrità in tempo reale con un contesto forense completo, tra cui chi, cosa, quando e come si è verificato un cambiamento. CimTrak supporta più formati di output dei log, tra cui CEF (Common Event Format), LEEF (Log Event Extended Format) e MEF (Micro Event Format).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Cimcor CimTrak
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla console di gestione Cimcor CimTrak con autorizzazioni di amministratore

Ottenere un file di autenticazione dell'acquisizione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Ottenere un ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- tcplog: Il tipo di ricevitore in base al protocollo:
  - udplog per UDP Syslog
  - tcplog per TCP syslog
- 0.0.0.0: indirizzo IP su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - Indirizzo IP specifico da ascoltare su un'interfaccia
- 514: numero di porta su cui ascoltare (ad esempio, 514, 1514, 6514)
Configurazione dell'esportatore:
- cimtrak: Nome descrittivo per l'esportatore
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: l'ID cliente del passaggio precedente
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.
- CIMCOR: Tipo di log esattamente come appare in Chronicle
- ingestion_labels: Etichette facoltative in formato YAML (ad esempio, env: production)
Configurazione della pipeline:
- cimtrak_to_chronicle: Nome descrittivo della pipeline

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di Syslog di Cimcor CimTrak

Accedi alla console di gestione CimTrak con le credenziali di amministratore.
Vai a Amministrazione > Sistema o alle impostazioni di Inoltro eventi.
Individua la sezione di configurazione Integrazione SIEM o Syslog.

Configura i seguenti parametri:

Impostazione	Valore
IP/nome host del server Syslog	Inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane
Port (Porta)	Inserisci la porta corrispondente alla configurazione del ricevitore dell'agente Bindplane (ad esempio, `514`).
Protocollo	Seleziona TCP o UDP in base al tipo di ricevitore Bindplane
Formato log	Seleziona CEF, LEEF o MEF in base ai tuoi requisiti.

(Facoltativo) Configura un filtro per inviare solo categorie di eventi specifiche (ad esempio, solo avvisi critici) o tutti gli eventi.
Fai clic su Salva e verifica che gli eventi vengano visualizzati nei log dell'agente Bindplane.

Nota: la navigazione esatta dell'UI può variare a seconda della versione di CimTrak. Per istruzioni dettagliate specifiche per la tua versione, consulta la sezione Integrazione SIEM nella documentazione del prodotto CimTrak o contatta l'assistenza Cimcor.

Tabella di mappatura UDM

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.