Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do CimTrak da Cimcor

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do CimTrak da Cimcor no Google Security Operations usando o agente do Bindplane.

O CimTrak da Cimcor é uma plataforma de monitoramento de integridade de arquivos (FIM, na sigla em inglês) para detectar mudanças não autorizadas em arquivos, configurações e definições do sistema. A plataforma fornece eventos de monitoramento de integridade em tempo real com contexto forense completo, incluindo quem, o quê, quando e como uma mudança ocorreu. O CimTrak é compatível com vários formatos de saída de registros, incluindo CEF (Common Event Format), LEEF (Log Event Extended Format) e MEF (Micro Event Format).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o CimTrak da Cimcor
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado ao console de gerenciamento do CimTrak da Cimcor com permissões de administrador

Receber um arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber um ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- tcplog: o tipo de receptor com base no protocolo:
  - udplog para syslog UDP
  - tcplog para syslog TCP
- 0.0.0.0: endereço IP para escutar:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - Endereço IP específico para detectar em uma interface
- 514: número da porta para escutar (por exemplo, 514, 1514, 6514)
Configuração do exportador:
- cimtrak: nome descritivo do exportador.
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: ID do cliente da etapa anterior
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.
- CIMCOR: tipo de registro exatamente como aparece no Chronicle
- ingestion_labels: rótulos opcionais no formato YAML (por exemplo, env: production)
Configuração do pipeline:
- cimtrak_to_chronicle: nome descritivo do pipeline.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog do CimTrak da Cimcor

Faça login no console de gerenciamento do CimTrak com credenciais de administrador.
Acesse Administração > Sistema ou as configurações de Encaminhamento de eventos.
Localize a seção de configuração Integração do SIEM ou Syslog.

Configure os seguintes parâmetros:

Configuração	Valor
IP/nome do host do servidor Syslog	Insira o endereço IP ou o nome do host do host do agente do Bindplane.
Porta	Insira a porta que corresponde à configuração do receptor do agente do Bindplane (por exemplo, `514`).
Protocolo	Selecione TCP ou UDP para corresponder ao tipo de receptor do Bindplane.
Formato do registro	Selecione CEF, LEEF ou MEF com base nos seus requisitos.

(Opcional) Configure um filtro para enviar apenas categorias de eventos específicas (por exemplo, apenas alertas críticos) ou todos os eventos.
Clique em Salvar e verifique se os eventos aparecem nos registros do agente Bindplane.

Observação: a navegação exata UI pode variar dependendo da sua versão do CimTrak. Para instruções detalhadas específicas da sua versão, consulte a seção "Integração do SIEM" na documentação do produto CimTrak ou entre em contato com o suporte da Cimcor.

Tabela de mapeamento do UDM

Registro de alterações

Ver o registro de alterações deste analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.