Mengumpulkan log Claroty xDome
Dokumen ini menjelaskan cara menyerap log Claroty xDome ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log yang diformat syslog Claroty xDome. Parser ini menggunakan grok dan/atau kv untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol atau appliance pengelolaan Claroty xDome.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:Opsi A: Konfigurasi UDP
receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels ```
Opsi B: Konfigurasi TCP dengan TLS (direkomendasikan untuk keamanan)
receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" tls: # Path to the server's public TLS certificate file when using self-signed certificates cert_file: /etc/bindplane/certs/cert.pem key_file: /etc/bindplane/certs/key.pem exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
- Ganti
<customer_id>dengan ID pelanggan yang sebenarnya. - Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps. - Untuk konfigurasi TLS, pastikan file sertifikat ada di jalur yang ditentukan atau buat sertifikat yang ditandatangani sendiri jika diperlukan.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Konfigurasi Syslog Mendetail
- Login ke UI Web Claroty xDome.
- Klik tab Setelan di menu navigasi.
- Pilih Setelan Sistem dari menu drop-down.
- Klik Integrasi Saya di bagian Integrasi.
- Klik + Tambahkan Integrasi.
- Pilih Layanan Internal dari menu drop-down Kategori.
- Pilih SIEM dan Syslog dari menu drop-down Integration.
- Klik Tambahkan.
- Masukkan detail konfigurasi berikut:
- IP Tujuan: Masukkan alamat IP Agen Bindplane.
- Transport Protocol: Pilih UDP atau TCP, atau TLS, bergantung pada konfigurasi Bindplane Anda.
- Jika Anda memilih protokol keamanan TLS, lakukan tindakan berikut:
- Centang opsi Periksa Nama Host untuk memverifikasi apakah nama host server cocok dengan salah satu nama yang ada di sertifikat X.509.
- Centang opsi Gunakan Certificate Authority Kustom untuk menggunakan Certificate Authority (CA) kustom, bukan CA default. Upload file sertifikat kustom atau masukkan sertifikat (dalam format PEM) ke tempat yang disediakan.
- Port Tujuan: Nilai default untuk TCP, TLS, dan UDP adalah 514. (Arahkan kursor ke kolom untuk menggunakan panah yang dapat diklik guna memilih port tujuan yang berbeda).
- Opsi Lanjutan: Masukkan setelan Opsi Lanjutan:
- Format Pesan: Pilih CEF (opsi lain mencakup format JSON atau LEEF).
- Standar Protokol Syslog: Pilih RFC 5424 atau RFC 3164.
- Nama Integrasi: Masukkan nama yang bermakna untuk integrasi (misalnya,
Google SecOps syslog). - Opsi deployment: Pilih opsi Jalankan dari server pengumpulan atau Jalankan dari cloud, bergantung pada konfigurasi xDome Anda.
- Buka parameter Integration Tasks.
- Aktifkan opsi Export Claroty xDome Communication Events Using Syslog untuk mengaktifkan ekspor peristiwa komunikasi Claroty xDome.
- Dari menu drop-down Pemilihan Jenis Peristiwa, klik Pilih Semua.
Pilih kondisi perangkat yang akan diekspor: Pilih opsi Semua Perangkat untuk mengekspor data peristiwa komunikasi semua perangkat yang terpengaruh.
Aktifkan opsi Export Claroty xDome Device Changes Alerts Change Log to Syslog untuk mengekspor peristiwa perubahan Claroty xDome.
Di drop-down Ubah Pilihan Jenis Peristiwa, pilih ubah jenis peristiwa yang ingin Anda ekspor.
Pilih kondisi perangkat yang ingin Anda ekspor: Pilih Semua Perangkat untuk mengekspor data peristiwa perubahan semua perangkat yang terpengaruh.
Aktifkan opsi Export Claroty xDome Alert Information for Affected Devices Using Syslog untuk mengekspor informasi pemberitahuan untuk semua jenis pemberitahuan, termasuk pemberitahuan kustom.
Dari Jenis Notifikasi, klik Pilih Semua.
Aktifkan opsi Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog untuk mengekspor jenis kerentanan Claroty xDome.
Di menu drop-down Vulnerability Types Selection, pilih vulnerability types yang ingin Anda ekspor.
Tentukan angka CVSS Threshold. Parameter ini memungkinkan Anda menetapkan nilai minimum CVSS untuk mengirim kerentanan menggunakan Syslog. Hanya kerentanan yang lebih besar atau sama dengan nilai minimum ini yang akan diekspor. Nilai minimum akan kembali ke Skor Dasar CVSS V3 secara default dan Skor Dasar CVSS V2 jika skor CVSS V3 tidak diketahui.
Pilih kondisi perangkat yang akan diekspor: Pilih Semua Perangkat untuk mengekspor data semua perangkat yang terpengaruh.
Aktifkan opsi Export Claroty xDome Server Incidents Information to Syslog untuk mengekspor insiden server Claroty xDome.
Pilih jenis server pengumpulan yang ingin Anda ekspor dari menu drop-down Pemilihan Server Pengumpulan.
Pilih insiden server yang ingin Anda ekspor di menu drop-down Pemilihan Insiden Server.
Klik Terapkan untuk menyimpan setelan konfigurasi.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.