Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Claroty xDome

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Claroty xDome a Google Security Operations con Bindplane. El analizador extrae campos de los registros con formato syslog de Claroty xDome. Utiliza grok o kv para analizar el mensaje de registro y, luego, asigna estos valores al Modelo de datos unificados (UDM). También establece valores de metadatos predeterminados para el origen y el tipo del evento.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host de Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la consola o el dispositivo de administración de Claroty xDome

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

Opción A: Configuración de UDP

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

    exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLAROTY_XDOME'
        raw_log_field: body
        ingestion_labels:

    service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
        receivers:
            - udplog
        exporters:
            - chronicle/chronicle_w_labels
    ```

Opción B: TCP con configuración de TLS (recomendada por seguridad)

receivers:
tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"
    tls:
    # Path to the server's public TLS certificate file when using self-signed certificates
    cert_file: /etc/bindplane/certs/cert.pem
    key_file: /etc/bindplane/certs/key.pem

exporters:
chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CLAROTY_XDOME'
    raw_log_field: body
    ingestion_labels:

service:
pipelines:
    logs/source0__chronicle_w_labels-0:
    receivers:
        - tcplog
    exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Para la configuración de TLS, asegúrate de que los archivos de certificado existan en las rutas especificadas o genera certificados autofirmados si es necesario.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configuración detallada de Syslog

Accede a la IU web de Claroty xDome.
Haz clic en la pestaña Configuración en la barra de navegación.
Selecciona Configuración del sistema en el menú desplegable.
Haz clic en Mis integraciones en la sección Integraciones.
Haz clic en + Agregar integración.
Selecciona Internal Services en el menú desplegable Category.
Selecciona SIEM y Syslog en el menú desplegable Integración.
Haz clic en Agregar.
Ingresa los siguientes detalles de configuración:
- IP de destino: Ingresa la dirección IP del agente de Bindplane.
- Transport Protocol: Selecciona UDP, TCP o TLS según la configuración de Bindplane.
- Si seleccionas el protocolo de seguridad TLS, haz lo siguiente:
  - Marca la opción Verificar nombres de host para verificar si el nombre de host del servidor coincide con alguno de los nombres presentes en el certificado X.509.
  - Marca la opción Usar autoridad certificadora personalizada para usar una autoridad certificadora (CA) personalizada en lugar de la CA predeterminada. Sube el archivo de certificado personalizado o inserta el certificado (en formato PEM) en el espacio proporcionado.
- Puerto de destino: El valor predeterminado para TCP, TLS y UDP es 514. (Pasa el cursor sobre el campo para usar las flechas en las que se puede hacer clic y seleccionar un puerto de destino diferente).
- Opciones avanzadas: Ingresa la configuración de Opciones avanzadas:
  - Formato del mensaje: Selecciona CEF (otras opciones incluyen el formato JSON o LEEF).
  - Estándar del protocolo Syslog: Selecciona RFC 5424 o RFC 3164.
- Nombre de la integración: Ingresa un nombre significativo para la integración (por ejemplo, Google SecOps syslog).
- Opciones de implementación: Selecciona la opción Ejecutar desde el servidor de recopilación o Ejecutar desde la nube según la configuración de xDome.
Ve a los parámetros de Tareas de integración.
Activa la opción Export Claroty xDome Communication Events Using Syslog para habilitar la exportación de eventos de comunicación de Claroty xDome.
En el menú desplegable Selección de tipos de eventos, haz clic en Seleccionar todo.
Elige las condiciones del dispositivo para exportar: Selecciona la opción Todos los dispositivos para exportar los datos de eventos de comunicación de todos los dispositivos afectados.

Nota: Para recibir eventos de OT Activity a través de Syslog, es necesario crear y habilitar las alertas de OT Activity para los tipos de eventos pertinentes. Esto se debe a que xDome solo envía eventos relacionados con las alertas de la actividad de OT.
Activa la opción Export Claroty xDome Device Changes Alerts Change Log to Syslog para exportar los eventos de cambio de Claroty xDome.
En el menú desplegable Change Event Types Selection, selecciona los tipos de eventos de cambio que deseas exportar.
Elige las condiciones del dispositivo que deseas exportar: Selecciona Todos los dispositivos para exportar los datos del evento de cambio de todos los dispositivos afectados.
Activa la opción Export Claroty xDome Alert Information for Affected Devices Using Syslog para exportar información de alertas de cualquier tipo, incluidas las alertas personalizadas.
En Tipos de alerta, haz clic en Seleccionar todo.
Activa la opción Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog para exportar los tipos de vulnerabilidades de Claroty xDome.
En el menú desplegable Vulnerability Types Selection, selecciona los tipos de vulnerabilidad que deseas exportar.
Especifica el número de Umbral de CVSS. Este parámetro te permite establecer un umbral de CVSS para enviar una vulnerabilidad a través de Syslog. Solo se exportarán las vulnerabilidades iguales o superiores a este umbral. El umbral volverá a la puntuación base de CVSS V3 de forma predeterminada y a la puntuación base de CVSS V2 si se desconoce la puntuación de CVSS V3.
Elige las condiciones del dispositivo que deseas exportar: Selecciona Todos los dispositivos para exportar los datos de todos los dispositivos afectados.
Activa la opción Export Claroty xDome Server Incidents Information to Syslog para exportar los incidentes del servidor de Claroty xDome.
En el menú desplegable Selección del servidor de recopilación, selecciona los tipos de servidores de recopilación que deseas exportar.
En el menú desplegable Selección de incidentes del servidor, selecciona los incidentes del servidor que deseas exportar.
Haz clic en Aplicar para guardar la configuración.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.