Claroty xDome のログを収集する
このドキュメントでは、Bindplane を使用して Claroty xDome ログを Google Security Operations に取り込む方法について説明します。パーサーは、Claroty xDome syslog 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- Claroty xDome 管理コンソールまたはアプライアンスへの特権アクセス。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。オプション A: UDP 構成
receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels ```
オプション B: TLS 構成を使用した TCP(セキュリティ上の理由から推奨)
receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" tls: # Path to the server's public TLS certificate file when using self-signed certificates cert_file: /etc/bindplane/certs/cert.pem key_file: /etc/bindplane/certs/key.pem exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。- TLS 構成では、証明書ファイルが指定されたパスに存在することを確認するか、必要に応じて自己署名証明書を生成します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog の詳細な構成
- Claroty xDome ウェブ UI にログインします。
- ナビゲーション バーの [設定] タブをクリックします。
- プルダウン メニューから [システム設定] を選択します。
- [Integrations] セクションで [My Integrations] をクリックします。
- [+ 統合を追加] をクリックします。
- [カテゴリ] プルダウン メニューから [Internal Services] を選択します。
- [統合] プルダウン メニューから [SIEM] と [Syslog] を選択します。
- [追加] をクリックします。
- 次の構成の詳細を入力します。
- 宛先 IP: Bindplane エージェントの IP アドレスを入力します。
- トランスポート プロトコル: Bindplane の構成に応じて、[UDP]、[TCP]、または [TLS] を選択します。
- TLS セキュリティ プロトコルを選択した場合は、次の操作を行います。
- [ホスト名を確認する] オプションをオンにして、サーバーのホスト名が X.509 証明書に存在する名前のいずれかと一致するかどうかを確認します。
- [Use Custom Certificate Authority] オプションをオンにして、デフォルトの CA ではなくカスタムの認証局(CA)を使用します。カスタム証明書ファイルをアップロードするか、指定されたスペースに証明書(PEM 形式)を挿入します。
- 宛先ポート: TCP、TLS、UDP のデフォルト値は 514 です。(フィールドにカーソルを合わせ、クリック可能な矢印を使用して別の宛先ポートを選択します)。
- 詳細オプション: 詳細オプションの設定を入力します。
- メッセージ形式: [CEF] を選択します(他のオプションには JSON 形式や LEEF 形式があります)。
- Syslog Protocol Standard: [RFC 5424] または [RFC 3164] を選択します。
- 統合名: 統合のわかりやすい名前を入力します(
Google SecOps syslogなど)。 - デプロイ オプション: xDome の構成に応じて、[コレクション サーバーから実行] オプションまたは [クラウドから実行] オプションを選択します。
- [統合タスク] パラメータに移動します。
- [Export Claroty xDome Communication Events Using Syslog] オプションをオンにして、Claroty xDome 通信イベントのエクスポートを有効にします。
- [イベントタイプの選択] プルダウン メニューで、[すべて選択] をクリックします。
エクスポートするデバイスの条件を選択する: 影響を受けるすべてのデバイスの通信イベント データをエクスポートするには、[すべてのデバイス] オプションを選択します。
Claroty xDome の変更イベントをエクスポートするには、[Export Claroty xDome Device Changes Alerts Change Log to Syslog] オプションをオンにします。
[変更イベントタイプの選択] プルダウンで、エクスポートする変更イベントタイプを選択します。
エクスポートするデバイスの条件を選択する: 影響を受けるすべてのデバイスの変更イベント データをエクスポートするには、[すべてのデバイス] を選択します。
[Export Claroty xDome Alert Information for Affected Devices Using Syslog] オプションをオンにすると、カスタム アラートを含む任意のアラート タイプのアラート情報をエクスポートできます。
[アラートの種類] で、[すべて選択] をクリックします。
[Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog] オプションをオンにして、Claroty xDome の脆弱性タイプをエクスポートします。
[脆弱性タイプの選択] プルダウン メニューで、エクスポートする脆弱性タイプを選択します。
[CVSS Threshold] の数値を指定します。このパラメータを使用すると、Syslog を使用して脆弱性を送信する CVSS しきい値を設定できます。このしきい値以上の脆弱性のみがエクスポートされます。しきい値は、デフォルトで CVSS V3 基本スコアに戻り、CVSS V3 スコアが不明な場合は CVSS V2 基本スコアに戻ります。
エクスポートするデバイスの条件を選択する: [すべてのデバイス] を選択すると、影響を受けるすべてのデバイスのデータがエクスポートされます。
[Export Claroty xDome Server Incidents Information to Syslog] オプションをオンにして、Claroty xDome サーバー インシデントをエクスポートします。
[コレクション サーバーの選択] プルダウン メニューから、エクスポートするコレクション サーバーのタイプを選択します。
[サーバー インシデントの選択] プルダウン メニューで、エクスポートするサーバー インシデントを選択します。
[適用] をクリックして、構成設定を保存します。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。