收集 Cimcor CimTrak 日志

支持:

本文档介绍了如何使用 Bindplane 代理将 Cimcor CimTrak 日志注入 Google Security Operations。

Cimcor CimTrak 是一个文件完整性监控 (FIM) 平台,用于检测对文件、配置和系统设置的未经授权的更改。该平台提供具有完整取证上下文的实时完整性监控事件,包括谁、什么、何时以及如何发生更改。CimTrak 支持多种日志输出格式,包括 CEF(通用事件格式)、LEEF(日志事件扩展格式)和 MEF(微事件格式)。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows Server 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • Bindplane 代理与 Cimcor CimTrak 之间的网络连接
  • 如果通过代理运行,请确保防火墙端口根据 Bindplane 代理要求处于开放状态
  • 具有管理员权限的 Cimcor CimTrak 管理控制台的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载数据注入身份验证文件

  4. 将文件安全地保存在将安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 个人资料

  3. 组织详细信息 部分复制并保存客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安装完成。

  4. 运行以下命令,验证安装是否成功:

    sc query observiq-otel-collector

    该服务应显示为 RUNNING

Linux 安装

  1. 使用 root 或 sudo 权限打开终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 等待安装完成。

  4. 运行以下命令,验证安装是否成功:

    sudo systemctl status observiq-otel-collector

    该服务应显示为 active (running)

其他安装资源

如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南

配置 Bindplane 代理以注入 syslog 并发送到 Google SecOps

找到配置文件

  • Linux

    sudo nano /opt/observiq-otel-collector/config.yaml

  • Windows

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

  • config.yaml 的全部内容替换为以下配置:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cimtrak:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CIMCOR
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/cimtrak_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cimtrak

配置参数

替换以下占位符:

  • 接收器配置

    • tcplog:基于协议的接收器类型:
      • UDP syslog 的 udplog
      • TCP syslog 的 tcplog
    • 0.0.0.0:要监听的 IP 地址:
      • 0.0.0.0 以监听所有接口(推荐)
      • 要监听一个接口的特定 IP 地址
    • 514:要监听的端口号(例如 51415146514

  • 导出器配置

    • cimtrak:导出器的描述性名称
    • creds_file_path:注入身份验证文件的完整路径:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • <customer_id>:上一步中的客户 ID
    • endpoint:区域级端点网址:
      • 美国malachiteingestion-pa.googleapis.com
      • 欧洲: europe-malachiteingestion-pa.googleapis.com
      • 亚洲: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 如需查看完整列表,请参阅区域级端点
    • CIMCOR:日志类型,与 Chronicle 中显示的完全一致
    • ingestion_labels:YAML 格式的可选标签(例如 env: production

  • 流水线配置

    • cimtrak_to_chronicle:流水线的描述性名称

保存配置文件

  • 修改后,保存文件:
    • Linux:按 Ctrl+O,然后按 Enter,再按 Ctrl+X
    • Windows:依次点击文件 > 保存

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart observiq-otel-collector

    1. 验证服务正在运行:

      sudo systemctl status observiq-otel-collector

    2. 检查日志中的错误:

      sudo journalctl -u observiq-otel-collector -f

  • 如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:

    • 以管理员身份运行命令提示符或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • “服务”控制台:

      1. Win+R,输入 services.msc,然后按 Enter 键。
      2. 找到 observIQ OpenTelemetry Collector
      3. 右键点击并选择重启

      4. 验证服务正在运行:

        sc query observiq-otel-collector

      5. 检查日志中的错误:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

配置 Cimcor CimTrak syslog 转发

  1. 使用管理员凭据登录 CimTrak 管理控制台
  2. 依次前往管理 > 系统事件转发 设置。
  3. 找到 SIEM 集成Syslog 配置部分。

  4. 配置以下参数:

    设置
    Syslog 服务器 IP/主机名 输入 Bindplane 代理主机的 IP 地址或主机名
    端口 输入与 Bindplane 代理接收器配置匹配的端口(例如 514
    协议 选择 TCPUDP 以匹配 Bindplane 接收器类型
    日志格式 根据您的要求选择 CEFLEEFMEF

  5. (可选)配置过滤器,以仅发送特定事件类别(例如,仅发送严重提醒)或所有事件。

  6. 点击保存 ,并验证事件是否显示在 Bindplane 代理日志中。

UDM 映射表

更新日志

查看此解析器的更新日志

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。