收集 Claroty xDome 日志

本文档介绍了如何使用 Bindplane 将 Claroty xDome 日志注入到 Google Security Operations。解析器从 Claroty xDome syslog 格式的日志中提取字段。它使用 grok 和/或 kv 来解析日志消息，然后将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机
• 如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
• 对 Claroty xDome 管理控制台或设备的特权访问权限。

获取 Google SecOps 注入身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。
3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 个人资料。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安装资源

• 如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

1. 访问配置文件：

   1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中，或位于 Windows 上的安装目录中。
   2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

2. 按如下方式修改 config.yaml 文件：

   • 选项 A：UDP 配置

         receivers:
         udplog:
             # Replace the port and IP address as required
             listen_address: "0.0.0.0:514"
     
         exporters:
         chronicle/chronicle_w_labels:
             compression: gzip
             # Adjust the path to the credentials file you downloaded in Step 1
             creds_file_path: '/path/to/ingestion-authentication-file.json'
             # Replace with your actual customer ID from Step 2
             customer_id: <customer_id>
             endpoint: malachiteingestion-pa.googleapis.com
             # Add optional ingestion labels for better organization
             log_type: 'CLAROTY_XDOME'
             raw_log_field: body
             ingestion_labels:
     
         service:
         pipelines:
             logs/source0__chronicle_w_labels-0:
             receivers:
                 - udplog
             exporters:
                 - chronicle/chronicle_w_labels
         ```
     

   • 选项 B：采用 TLS 配置的 TCP（建议采用此选项以确保安全性）

     receivers:
     tcplog:
         # Replace the port and IP address as required
         listen_address: "0.0.0.0:514"
         tls:
         # Path to the server's public TLS certificate file when using self-signed certificates
         cert_file: /etc/bindplane/certs/cert.pem
         key_file: /etc/bindplane/certs/key.pem
     
     exporters:
     chronicle/chronicle_w_labels:
         compression: gzip
         # Adjust the path to the credentials file you downloaded in Step 1
         creds_file_path: '/path/to/ingestion-authentication-file.json'
         # Replace with your actual customer ID from Step 2
         customer_id: <customer_id>
         endpoint: malachiteingestion-pa.googleapis.com
         # Add optional ingestion labels for better organization
         log_type: 'CLAROTY_XDOME'
         raw_log_field: body
         ingestion_labels:
     
     service:
     pipelines:
         logs/source0__chronicle_w_labels-0:
         receivers:
             - tcplog
         exporters:
             - chronicle/chronicle_w_labels
     

     • 根据基础架构的需要替换端口和 IP 地址。
     • 将 <customer_id> 替换为实际的客户 ID。
     • 将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
     • 对于 TLS 配置，请确保证书文件存在于指定的路径中，或者根据需要生成自签名证书。

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart bindplane-agent
  

• 如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

详细的 Syslog 配置

1. 登录 Claroty xDome 网页界面。
2. 点击导航栏中的设置标签页。
3. 从下拉菜单中选择系统设置。
4. 点击“集成”部分中的我的集成。
5. 点击 + 添加集成。
6. 从“类别”下拉菜单中选择内部服务。
7. 从集成下拉菜单中选择 SIEM 和 Syslog。
8. 点击添加。
9. 输入以下配置详细信息：
   • 目标 IP：输入 Bindplane 代理 IP 地址。
   • 传输协议：根据您的 Bindplane 配置，选择 UDP、TCP 或 TLS。
   • 如果您选择 TLS 安全协议，请执行以下操作：
     • 勾选检查主机名选项，以验证服务器的主机名是否与 X.509 证书中的任何名称匹配。
     • 选中使用自定义证书授权机构选项，以使用自定义证书授权机构 (CA) 而不是默认 CA。上传自定义证书文件，或将证书（采用 PEM 格式）插入到提供的空间中。
   • 目标端口：TCP、TLS 和 UDP 的默认值为 514。（将鼠标悬停在相应字段上，然后使用可点击的箭头选择其他目标端口）。
   • 高级选项：输入高级选项设置：
     • 消息格式：选择 CEF（其他选项包括 JSON 或 LEEF 格式）。
     • Syslog 协议标准：选择 RFC 5424 或 RFC 3164。
   • 集成名称：输入一个有意义的集成名称（例如 Google SecOps syslog）。
   • 部署选项：根据您的 xDome 配置，选择从收集服务器运行或从云端运行选项。
10. 前往集成任务参数。
11. 开启使用 Syslog 导出 Claroty xDome 通信事件选项，以启用导出 Claroty xDome 通信事件。
12. 在选择事件类型下拉菜单中，点击全选。

13. 选择要导出的设备条件：选择所有设备选项，以导出所有受影响设备的通信事件数据。

14. 开启将 Claroty xDome 设备更改提醒更改日志导出到 Syslog 选项，以导出 Claroty xDome 更改事件。

15. 在更改事件类型选择下拉菜单中，选择要导出的更改事件类型。

16. 选择要导出的设备条件：选择所有设备，以导出所有受影响设备的更改事件数据。

17. 开启使用 Syslog 导出受影响设备的 Claroty xDome 提醒信息选项，以导出任何提醒类型（包括自定义提醒）的提醒信息。

18. 在提醒类型中，点击全选。

19. 开启使用 Syslog 导出受影响设备的 Claroty xDome 漏洞信息选项，以导出 Claroty xDome 漏洞类型。

20. 在漏洞类型选择下拉菜单中，选择要导出的漏洞类型。

21. 指定 CVSS 阈值编号。此参数可让您设置 CVSS 阈值，以便使用 Syslog 发送漏洞。系统只会导出大于或等于此阈值的漏洞。默认情况下，阈值将恢复为 CVSS V3 基础得分；如果 CVSS V3 得分未知，则恢复为 CVSS V2 基础得分。

22. 选择要导出的设备条件：选择所有设备可导出所有受影响设备的数据。

23. 开启将 Claroty xDome 服务器事件信息导出到 Syslog 选项，以导出 Claroty xDome 服务器事件。

24. 从收集服务器选择下拉菜单中选择要导出的收集服务器类型。

25. 在服务器事件选择下拉菜单中，选择要导出的服务器事件。

26. 点击应用以保存配置设置。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。