Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Claroty xDome

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Claroty xDome dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux au format syslog Claroty xDome. Il utilise grok et/ou kv pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console de gestion ou à l'appliance Claroty xDome.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

Option A : Configuration UDP

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

    exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLAROTY_XDOME'
        raw_log_field: body
        ingestion_labels:

    service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
        receivers:
            - udplog
        exporters:
            - chronicle/chronicle_w_labels
    ```

Option B : Configuration TCP avec TLS (recommandée pour la sécurité)

receivers:
tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"
    tls:
    # Path to the server's public TLS certificate file when using self-signed certificates
    cert_file: /etc/bindplane/certs/cert.pem
    key_file: /etc/bindplane/certs/key.pem

exporters:
chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CLAROTY_XDOME'
    raw_log_field: body
    ingestion_labels:

service:
pipelines:
    logs/source0__chronicle_w_labels-0:
    receivers:
        - tcplog
    exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification de l'ingestion Google SecOps.
Pour la configuration TLS, assurez-vous que les fichiers de certificat existent aux chemins d'accès spécifiés ou générez des certificats autosignés si nécessaire.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configuration détaillée de Syslog

Connectez-vous à l'interface utilisateur Web Claroty xDome.
Cliquez sur l'onglet Paramètres dans la barre de navigation.
Sélectionnez Paramètres système dans le menu déroulant.
Cliquez sur Mes intégrations dans la section "Intégrations".
Cliquez sur + Ajouter une intégration.
Sélectionnez Services internes dans le menu déroulant "Catégorie".
Sélectionnez SIEM et Syslog dans le menu déroulant Intégration.
Cliquez sur Ajouter.
Saisissez les informations de configuration suivantes :
- Adresse IP de destination : saisissez l'adresse IP de l'agent Bindplane.
- Protocole de transport : sélectionnez UDP, TCP ou TLS en fonction de votre configuration Bindplane.
- Si vous sélectionnez le protocole de sécurité TLS, procédez comme suit :
  - Cochez l'option Vérifier les noms d'hôte pour vérifier si le nom d'hôte du serveur correspond à l'un des noms présents dans le certificat X.509.
  - Cochez l'option Utiliser une autorité de certification personnalisée pour utiliser une autorité de certification (CA) personnalisée au lieu de l'autorité de certification par défaut. Importez le fichier de certificat personnalisé ou insérez le certificat (au format PEM) dans l'espace prévu à cet effet.
- Port de destination : la valeur par défaut pour TCP, TLS et UDP est 514. (Pointez sur le champ pour utiliser les flèches cliquables et sélectionner un autre port de destination.)
- Options avancées : saisissez les paramètres des options avancées :
  - Format du message : sélectionnez CEF (les autres options incluent les formats JSON ou LEEF).
  - Norme du protocole Syslog : sélectionnez RFC 5424 ou RFC 3164.
- Nom de l'intégration : saisissez un nom explicite pour l'intégration (par exemple, Google SecOps syslog).
- Options de déploiement : sélectionnez l'option Exécuter à partir du serveur de collecte ou Exécuter à partir du cloud en fonction de votre configuration xDome.
Accédez aux paramètres Integration Tasks (Tâches d'intégration).
Activez l'option Exporter les événements de communication Claroty xDome à l'aide de Syslog pour activer l'exportation des événements de communication Claroty xDome.
Dans le menu déroulant Sélection des types d'événements, cliquez sur Tout sélectionner.
Choisissez les conditions de l'appareil à exporter : sélectionnez l'option Tous les appareils pour exporter les données des événements de communication de tous les appareils concernés.

Remarque : Pour recevoir les événements d'activité OT via Syslog, vous devez créer et activer des alertes d'activité OT pour les types d'événements concernés. En effet, xDome n'envoie que les événements liés aux alertes pour l'activité OT.
Activez l'option Exporter le journal des modifications des alertes de modification des appareils Claroty xDome vers Syslog pour exporter les événements de modification Claroty xDome.
Dans le menu déroulant Modifier la sélection des types d'événements, sélectionnez les types d'événements de modification que vous souhaitez exporter.
Choisissez les conditions des appareils que vous souhaitez exporter : sélectionnez Tous les appareils pour exporter les données des événements de modification de tous les appareils concernés.
Activez l'option Exporter les informations sur les alertes Claroty xDome pour les appareils concernés à l'aide de Syslog pour exporter les informations sur les alertes pour tout type d'alerte, y compris les alertes personnalisées.
Dans Types d'alertes, cliquez sur Tout sélectionner.
Activez l'option Exporter les informations sur les failles Claroty xDome pour les appareils concernés à l'aide de Syslog pour exporter les types de failles Claroty xDome.
Dans le menu déroulant Sélection des types de failles, sélectionnez les types de failles que vous souhaitez exporter.
Spécifiez le numéro du seuil CVSS. Ce paramètre vous permet de définir un seuil CVSS pour envoyer une faille à l'aide de Syslog. Seules les failles supérieures ou égales à ce seuil seront exportées. Le seuil reviendra par défaut au score de base CVSS V3 et au score de base CVSS V2 si le score CVSS V3 est inconnu.
Choisissez les conditions des appareils à exporter : sélectionnez Tous les appareils pour exporter les données de tous les appareils concernés.
Activez l'option Exporter les informations sur les incidents du serveur Claroty xDome vers Syslog pour exporter les incidents du serveur Claroty xDome.
Dans le menu déroulant Sélection du serveur de collecte, sélectionnez les types de serveurs de collecte que vous souhaitez exporter.
Dans le menu déroulant Sélection des incidents de serveur, sélectionnez les incidents de serveur que vous souhaitez exporter.
Cliquez sur Appliquer pour enregistrer les paramètres de configuration.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.