Recopilar registros de Claroty xDome
En este documento se explica cómo ingerir registros de Claroty xDome en Google Security Operations mediante Bindplane. El analizador extrae campos de los registros con formato syslog de Claroty xDome. Usa grok o kv para analizar el mensaje de registro y, a continuación, asigna estos valores al modelo de datos unificado (UDM). También define los valores de metadatos predeterminados de la fuente y el tipo de evento.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Una instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host Linux con
systemd - Si se ejecuta a través de un proxy, asegúrese de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.
- Acceso con privilegios a la consola de gestión o al dispositivo de Claroty xDome.
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instalar el agente de Bindplane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.
Instalación de ventanas
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre un terminal con privilegios de superusuario o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para ver otras opciones de instalación, consulta esta guía de instalación.
Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Busca el archivo
config.yaml. Normalmente, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Busca el archivo
Edita el archivo
config.yamlde la siguiente manera:Opción A: configuración de UDP
receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels ```
Opción B: TCP con configuración de TLS (recomendada por motivos de seguridad)
receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" tls: # Path to the server's public TLS certificate file when using self-signed certificates cert_file: /etc/bindplane/certs/cert.pem key_file: /etc/bindplane/certs/key.pem exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
- Sustituye
<customer_id>por el ID de cliente real. - Actualiza
/path/to/ingestion-authentication-file.jsona la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps. - Para configurar TLS, comprueba que los archivos de certificado se encuentren en las rutas especificadas o genera certificados autofirmados si es necesario.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configuración detallada de Syslog
- Inicia sesión en la interfaz web de Claroty xDome.
- En la barra de navegación, haz clic en la pestaña Configuración.
- En el menú desplegable, selecciona Configuración del sistema.
- En la sección Integraciones, haz clic en Mis integraciones.
- Haz clic en + Add Integration (Añadir integración).
- Seleccione Servicios internos en el menú desplegable Categoría.
- Seleccione SIEM y Syslog en el menú desplegable Integración.
- Haz clic en Añadir.
- Introduce los siguientes detalles de configuración:
- IP de destino: introduzca la dirección IP del agente de Bindplane.
- Protocolo de transporte: selecciona UDP, TCP o TLS en función de la configuración de Bindplane.
- Si seleccionas el protocolo de seguridad TLS, haz lo siguiente:
- Marca la opción Comprobar nombres de host para verificar si el nombre de host del servidor coincide con alguno de los nombres presentes en el certificado X.509.
- Marca la opción Usar autoridad de certificación personalizada para usar una autoridad de certificación personalizada en lugar de la predeterminada. Sube el archivo de certificado personalizado o inserta el certificado (en formato PEM) en el espacio proporcionado.
- Puerto de destino: el valor predeterminado de TCP, TLS y UDP es 514. Coloca el cursor sobre el campo para usar las flechas en las que se puede hacer clic y seleccionar otro puerto de destino.
- Opciones avanzadas: introduce los ajustes de opciones avanzadas:
- Formato del mensaje: selecciona CEF (también puedes elegir el formato JSON o LEEF).
- Estándar del protocolo Syslog: selecciona RFC 5424 o RFC 3164.
- Nombre de la integración: introduce un nombre descriptivo para la integración (por ejemplo,
Google SecOps syslog). - Opciones de implementación: selecciona la opción Ejecutar desde el servidor de la colección o Ejecutar desde la nube en función de la configuración de xDome.
- Ve a los parámetros de Tareas de integración.
- Activa la opción Export Claroty xDome Communication Events Using Syslog (Exportar eventos de comunicación de Claroty xDome mediante Syslog) para habilitar la exportación de eventos de comunicación de Claroty xDome.
- En el menú desplegable Selección de tipos de evento, haga clic en Seleccionar todo.
Elige las condiciones de los dispositivos que quieres exportar: selecciona la opción Todos los dispositivos para exportar los datos de eventos de comunicación de todos los dispositivos afectados.
Activa la opción Export Claroty xDome Device Changes Alerts Change Log to Syslog (Exportar registro de cambios de alertas de cambios de dispositivos de Claroty xDome a Syslog) para exportar los eventos de cambio de Claroty xDome.
En el menú desplegable Cambiar selección de tipos de eventos, seleccione los tipos de eventos de cambio que quiera exportar.
Elige las condiciones del dispositivo que quieras exportar: selecciona Todos los dispositivos para exportar los datos de eventos de cambio de todos los dispositivos afectados.
Active la opción Export Claroty xDome Alert Information for Affected Devices Using Syslog (Exportar información de alertas de Claroty xDome de dispositivos afectados mediante Syslog) para exportar información de alertas de cualquier tipo, incluidas las alertas personalizadas.
En Tipos de alertas, haz clic en Seleccionar todo.
Activa la opción Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog (Exportar información de vulnerabilidades de Claroty xDome para dispositivos afectados mediante Syslog) para exportar los tipos de vulnerabilidades de Claroty xDome.
En el menú desplegable Selección de tipos de vulnerabilidades, selecciona los tipos de vulnerabilidades que quieras exportar.
Especifica el número de Umbral de CVSS. Este parámetro le permite definir un umbral de CVSS para enviar una vulnerabilidad mediante Syslog. Solo se exportarán las vulnerabilidades que sean iguales o superiores a este umbral. El umbral volverá a la puntuación base de CVSS V3 de forma predeterminada y a la puntuación base de CVSS V2 si se desconoce la puntuación de CVSS V3.
Elige las condiciones de los dispositivos que quieres exportar: selecciona Todos los dispositivos para exportar los datos de todos los dispositivos afectados.
Activa la opción Export Claroty xDome Server Incidents Information to Syslog (Exportar información de incidentes del servidor Claroty xDome a Syslog) para exportar los incidentes del servidor Claroty xDome.
Selecciona los tipos de servidor de recogida que quieras exportar en el menú desplegable Collection Server Selection (Selección de servidor de recogida).
En el menú desplegable Selección de incidencias del servidor, selecciona las incidencias del servidor que quieras exportar.
Haga clic en Aplicar para guardar la configuración.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.