Claroty xDome-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Claroty xDome-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus Syslog-formatierten Logs von Claroty xDome. Die Log-Nachricht wird mit „grok“ und/oder „kv“ geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows 2016 oder höher oder ein Linux-Host mit
systemd - Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Claroty xDome-Verwaltungskonsole oder ‑Appliance.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:Option A: UDP-Konfiguration
receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels ```
Option B: TCP mit TLS-Konfiguration (aus Sicherheitsgründen empfohlen)
receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" tls: # Path to the server's public TLS certificate file when using self-signed certificates cert_file: /etc/bindplane/certs/cert.pem key_file: /etc/bindplane/certs/key.pem exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde. - Achten Sie bei der TLS-Konfiguration darauf, dass die Zertifikatsdateien an den angegebenen Pfaden vorhanden sind, oder generieren Sie bei Bedarf selbst signierte Zertifikate.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Detaillierte Syslog-Konfiguration
- Melden Sie sich in der Claroty xDome-Web-UI an.
- Klicken Sie in der Navigationsleiste auf den Tab Einstellungen.
- Wählen Sie im Drop-down-Menü die Option Systemeinstellungen aus.
- Klicken Sie im Bereich „Integrationen“ auf Meine Integrationen.
- Klicken Sie auf + Integration hinzufügen.
- Wählen Sie im Drop-down-Menü „Kategorie“ die Option Interne Dienste aus.
- Wählen Sie im Drop-down-Menü Integration die Optionen SIEM und Syslog aus.
- Klicken Sie auf Hinzufügen.
- Geben Sie die folgenden Konfigurationsdetails ein:
- Ziel-IP: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Transport Protocol (Transportprotokoll): Wählen Sie je nach Bindplane-Konfiguration UDP, TCP oder TLS aus.
- Wenn Sie das TLS-Sicherheitsprotokoll auswählen, gehen Sie so vor:
- Aktivieren Sie die Option Hostnamen prüfen, um zu prüfen, ob der Hostname des Servers mit einem der Namen im X.509-Zertifikat übereinstimmt.
- Aktivieren Sie die Option Benutzerdefinierte Zertifizierungsstelle verwenden, um eine benutzerdefinierte Zertifizierungsstelle anstelle der Standard-Zertifizierungsstelle zu verwenden. Laden Sie die benutzerdefinierte Zertifikatsdatei hoch oder fügen Sie das Zertifikat (im PEM-Format) in den dafür vorgesehenen Bereich ein.
- Zielport: Der Standardwert für TCP, TLS und UDP ist 514. Bewegen Sie den Mauszeiger auf das Feld, um mit den klickbaren Pfeilen einen anderen Zielport auszuwählen.
- Erweiterte Optionen: Geben Sie die Einstellungen für die erweiterten Optionen ein:
- Message Format (Nachrichtenformat): Wählen Sie CEF aus. Weitere Optionen sind JSON oder das LEEF-Format.
- Syslog-Protokollstandard: Wählen Sie RFC 5424 oder RFC 3164 aus.
- Name der Integration: Geben Sie einen aussagekräftigen Namen für die Integration ein, z. B.
Google SecOps syslog. - Bereitstellungsoptionen: Wählen Sie je nach Ihrer xDome-Konfiguration die Option Vom Erfassungsserver ausführen oder Aus der Cloud ausführen aus.
- Rufen Sie die Parameter für Integrationsaufgaben auf.
- Aktivieren Sie die Option Export Claroty xDome Communication Events Using Syslog (Claroty xDome-Kommunikationsereignisse über Syslog exportieren), um den Export von Claroty xDome-Kommunikationsereignissen zu aktivieren.
- Klicken Sie im Drop-down-Menü Event Types Selection (Auswahl der Ereignistypen) auf Select All (Alle auswählen).
Gerätebedingungen für den Export auswählen: Wählen Sie die Option Alle Geräte aus, um die Daten zu Kommunikationsereignissen aller betroffenen Geräte zu exportieren.
Aktivieren Sie die Option Export Claroty xDome Device Changes Alerts Change Log to Syslog (Änderungsprotokoll für Claroty xDome-Geräteänderungsbenachrichtigungen in Syslog exportieren), um Claroty xDome-Änderungsereignisse zu exportieren.
Wählen Sie im Drop-down-Menü Change Event Types Selection (Auswahl der Änderungsereignistypen) die change event types (Änderungsereignistypen) aus, die Sie exportieren möchten.
Gerätebedingungen für den Export auswählen: Wählen Sie Alle Geräte aus, um die Änderungsereignisdaten aller betroffenen Geräte zu exportieren.
Aktivieren Sie die Option Export Claroty xDome Alert Information for Affected Devices Using Syslog (Claroty xDome-Benachrichtigungsinformationen für betroffene Geräte über Syslog exportieren), um Benachrichtigungsinformationen für alle Benachrichtigungstypen, einschließlich benutzerdefinierter Benachrichtigungen, zu exportieren.
Klicken Sie unter Benachrichtigungstypen auf Alle auswählen.
Aktivieren Sie die Option Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog (Claroty xDome-Schwachstelleninformationen für betroffene Geräte über Syslog exportieren), um Claroty xDome-Schwachstellentypen zu exportieren.
Wählen Sie im Drop-down-Menü Vulnerability Types Selection (Auswahl der Sicherheitslückentypen) die Sicherheitslückentypen aus, die Sie exportieren möchten.
Geben Sie die CVSS-Schwellenwertnummer an. Mit diesem Parameter können Sie einen CVSS-Schwellenwert festlegen, um eine Sicherheitslücke über Syslog zu senden. Es werden nur Sicherheitslücken exportiert, die größer oder gleich diesem Schwellenwert sind. Der Schwellenwert wird standardmäßig auf den CVSS V3-Basiswert und auf den CVSS V2-Basiswert zurückgesetzt, wenn der CVSS V3-Wert unbekannt ist.
Gerätebedingungen für den Export auswählen: Wählen Sie Alle Geräte aus, um die Daten aller betroffenen Geräte zu exportieren.
Aktivieren Sie die Option Export Claroty xDome Server Incidents Information to Syslog (Informationen zu Claroty xDome-Servervorfällen in Syslog exportieren), um Claroty xDome-Servervorfälle zu exportieren.
Wählen Sie im Drop-down-Menü Collection Server Selection (Auswahl des Erfassungsservers) die Typen von Erfassungsservern aus, die Sie exportieren möchten.
Wählen Sie im Drop-down-Menü Servervorfälle auswählen die Servervorfälle aus, die Sie exportieren möchten.
Klicken Sie auf Übernehmen, um die Konfigurationseinstellungen zu speichern.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten