Raccogliere i log di Claroty xDome

Questo documento spiega come importare i log di Claroty xDome in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai log formattati syslog di Claroty xDome. Utilizza grok e/o kv per analizzare il messaggio di log e poi mappa questi valori al modello Unified Data Model (UDM). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Windows 2016 o versioni successive oppure un host Linux con systemd
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
• Accesso con privilegi alla console di gestione o all'appliance Claroty xDome.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   • Opzione A: configurazione UDP

         receivers:
         udplog:
             # Replace the port and IP address as required
             listen_address: "0.0.0.0:514"
     
         exporters:
         chronicle/chronicle_w_labels:
             compression: gzip
             # Adjust the path to the credentials file you downloaded in Step 1
             creds_file_path: '/path/to/ingestion-authentication-file.json'
             # Replace with your actual customer ID from Step 2
             customer_id: <customer_id>
             endpoint: malachiteingestion-pa.googleapis.com
             # Add optional ingestion labels for better organization
             log_type: 'CLAROTY_XDOME'
             raw_log_field: body
             ingestion_labels:
     
         service:
         pipelines:
             logs/source0__chronicle_w_labels-0:
             receivers:
                 - udplog
             exporters:
                 - chronicle/chronicle_w_labels
         ```
     

   • Opzione B: TCP con configurazione TLS (consigliata per la sicurezza)

     receivers:
     tcplog:
         # Replace the port and IP address as required
         listen_address: "0.0.0.0:514"
         tls:
         # Path to the server's public TLS certificate file when using self-signed certificates
         cert_file: /etc/bindplane/certs/cert.pem
         key_file: /etc/bindplane/certs/key.pem
     
     exporters:
     chronicle/chronicle_w_labels:
         compression: gzip
         # Adjust the path to the credentials file you downloaded in Step 1
         creds_file_path: '/path/to/ingestion-authentication-file.json'
         # Replace with your actual customer ID from Step 2
         customer_id: <customer_id>
         endpoint: malachiteingestion-pa.googleapis.com
         # Add optional ingestion labels for better organization
         log_type: 'CLAROTY_XDOME'
         raw_log_field: body
         ingestion_labels:
     
     service:
     pipelines:
         logs/source0__chronicle_w_labels-0:
         receivers:
             - tcplog
         exporters:
             - chronicle/chronicle_w_labels
     

     • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
     • Sostituisci <customer_id> con l'ID cliente effettivo.
     • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
     • Per la configurazione TLS, assicurati che i file dei certificati esistano nei percorsi specificati o genera certificati autofirmati, se necessario.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurazione Syslog dettagliata

1. Accedi all'UI web di Claroty xDome.
2. Fai clic sulla scheda Impostazioni nella barra di navigazione.
3. Seleziona Impostazioni di sistema dal menu a discesa.
4. Fai clic su Le mie integrazioni nella sezione Integrazioni.
5. Fai clic su + Aggiungi integrazione.
6. Seleziona Servizi interni dal menu a discesa Categoria.
7. Seleziona SIEM e Syslog dal menu a discesa Integrazione.
8. Fai clic su Aggiungi.
9. Inserisci i seguenti dettagli di configurazione:
   • IP di destinazione: inserisci l'indirizzo IP dell'agente Bindplane.
   • Protocollo di trasporto: seleziona UDP, TCP o TLS a seconda della configurazione di Bindplane.
   • Se selezioni il protocollo di sicurezza TLS, procedi nel seguente modo:
     • Seleziona l'opzione Controlla nomi host per verificare se il nome host del server corrisponde a uno dei nomi presenti nel certificato X.509.
     • Seleziona l'opzione Utilizza autorità di certificazione personalizzata per utilizzare un'autorità di certificazione (CA) personalizzata anziché quella predefinita. Carica il file del certificato personalizzato o inserisci il certificato (in formato PEM) nello spazio fornito.
   • Porta di destinazione: il valore predefinito per TCP, TLS e UDP è 514. Passa il mouse sopra il campo per utilizzare le frecce selezionabili per scegliere una porta di destinazione diversa.
   • Opzioni avanzate: inserisci le impostazioni delle opzioni avanzate:
     • Formato messaggio: seleziona CEF (altre opzioni includono il formato JSON o LEEF).
     • Standard del protocollo Syslog: seleziona RFC 5424 o RFC 3164.
   • Integration Name (Nome integrazione): inserisci un nome significativo per l'integrazione (ad esempio, Google SecOps syslog).
   • Opzioni di deployment: seleziona l'opzione Esegui dal server di raccolta o Esegui dal cloud a seconda della configurazione di xDome.
10. Vai ai parametri Attività di integrazione.
11. Attiva l'opzione Esporta eventi di comunicazione Claroty xDome utilizzando Syslog per attivare l'esportazione degli eventi di comunicazione Claroty xDome.
12. Dal menu a discesa Selezione tipi di eventi, fai clic su Seleziona tutto.

13. Scegli le condizioni del dispositivo da esportare: seleziona l'opzione Tutti i dispositivi per esportare i dati degli eventi di comunicazione di tutti i dispositivi interessati.

14. Attiva l'opzione Esporta log delle modifiche degli avvisi di modifica dei dispositivi Claroty xDome in Syslog per esportare gli eventi di modifica di Claroty xDome.

15. Nel menu a discesa Modifica selezione tipi di eventi, seleziona i tipi di eventi di modifica che vuoi esportare.

16. Scegli le condizioni del dispositivo da esportare: seleziona Tutti i dispositivi per esportare i dati degli eventi di modifica di tutti i dispositivi interessati.

17. Attiva l'opzione Esporta informazioni sugli avvisi di Claroty xDome per i dispositivi interessati utilizzando Syslog per esportare le informazioni sugli avvisi per qualsiasi tipo di avviso, inclusi quelli personalizzati.

18. In Tipi di avvisi, fai clic su Seleziona tutto.

19. Attiva l'opzione Esporta informazioni sulle vulnerabilità di Claroty xDome per i dispositivi interessati utilizzando Syslog per esportare i tipi di vulnerabilità di Claroty xDome.

20. Nel menu a discesa Selezione dei tipi di vulnerabilità, seleziona i tipi di vulnerabilità che vuoi esportare.

21. Specifica il numero Soglia CVSS. Questo parametro consente di impostare una soglia CVSS per inviare una vulnerabilità utilizzando Syslog. Verranno esportate solo le vulnerabilità maggiori o uguali a questa soglia. La soglia verrà ripristinata al punteggio di base CVSS V3 per impostazione predefinita e al punteggio di base CVSS V2 se il punteggio CVSS V3 è sconosciuto.

22. Scegli le condizioni del dispositivo da esportare: seleziona Tutti i dispositivi per esportare i dati di tutti i dispositivi interessati.

23. Attiva l'opzione Esporta informazioni sugli incidenti del server Claroty xDome in Syslog per esportare gli incidenti del server Claroty xDome.

24. Seleziona i tipi di server di raccolta che vuoi esportare dal menu a discesa Selezione server di raccolta.

25. Seleziona gli incidenti del server che vuoi esportare dal menu a discesa Selezione incidenti del server.

26. Fai clic su Applica per salvare le impostazioni di configurazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.