Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cimcor CimTrak ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Cimcor CimTrak ログを Google Security Operations に取り込む方法について説明します。

Cimcor CimTrak は、ファイル、構成、システム設定への不正な変更を検出するためのファイル整合性モニタリング（FIM）プラットフォームです。このプラットフォームは、変更が発生したユーザー、内容、日時、方法など、完全なフォレンジックコンテキストを含むリアルタイムの整合性モニタリングイベントを提供します。CimTrak は、CEF（Common Event Format）、LEEF（Log Event Extended Format）、MEF（Micro Event Format）など、複数のログ出力形式をサポートしています。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を搭載した Linux ホスト
Bindplane エージェントと Cimcor CimTrak 間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認する
管理者権限で Cimcor CimTrak 管理コンソールにアクセスできる

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。

**注:** この JSON ファイルには、Google SecOps に対して Bindplane エージェントを認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

**注:** お客様 ID は、Bindplane エージェントエクスポータを構成するために必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows へのインストール

管理者としてコマンドプロンプト またはPowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux へのインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスは active (running) と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集する

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- tcplog: プロトコルに基づくレシーバータイプ:
  - UDP Syslog の場合は udplog
  - TCP Syslog の場合は tcplog
- 0.0.0.0: リッスンする IP アドレス:
  - すべてのインターフェースでリッスンする場合は 0.0.0.0（推奨）
  - 1 つのインターフェースでリッスンする特定の IP アドレス
- 514: リッスンするポート番号（514、1514、6514 など）
エクスポータの構成:
- cimtrak: エクスポータの説明名
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: 前のステップのお客様 ID
- endpoint: リージョンエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。
- CIMCOR: Chronicle に表示されるログタイプ
- ingestion_labels: YAML 形式の省略可能なラベル（例: env: production）
パイプラインの構成:
- cimtrak_to_chronicle: パイプラインの説明名

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X を押します。
- Windows: [ファイル] > [保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログにエラーがないか確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R を押して services.msc と入力し、Enter キーを押します。
  2. [observIQ OpenTelemetry Collector] を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログにエラーがないか確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Cimcor CimTrak Syslog 転送を構成する

管理者認証情報を使用してCimTrak 管理コンソール にログインします。
[Administration > System] または [Event Forwarding] 設定に移動します。
[SIEM Integration] または [Syslog] 構成セクションを見つけます。

次のパラメータを構成します。

設定	値
Syslog サーバーの IP アドレスまたはホスト名	Bindplane エージェントホストの IP アドレスまたはホスト名を入力します。
ポート	Bindplane エージェントレシーバーの構成に一致するポートを入力します（例: `514`）。
プロトコル	Bindplane レシーバータイプに合わせて [TCP] または [UDP] を選択します。
ログ形式	要件に基づいて [CEF]、[LEEF]、または [MEF] を選択します。

（省略可）特定のイベントカテゴリ（重大なアラートのみなど）またはすべてのイベントのみを送信するようにフィルタを構成します。
[保存] をクリックし、イベントが Bindplane エージェントのログに表示されることを確認します。

注: 正確な UI ナビゲーションは、CimTrak のバージョンによって異なる場合があります。バージョン固有の詳細な手順については、CimTrak プロダクトドキュメントの SIEM 統合セクションを参照するか、Cimcor サポートにお問い合わせください。

UDM マッピングテーブル

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。