收集 Claroty xDome 記錄

本文說明如何使用 Bindplane，將 Claroty xDome 記錄擷取至 Google Security Operations。剖析器會從 Claroty xDome Syslog 格式的記錄檔中擷取欄位。它會使用 grok 和/或 kv 剖析記錄訊息，然後將這些值對應至統一資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
• 如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
• Claroty xDome 管理主控台或設備的特殊存取權。

取得 Google SecOps 擷取驗證檔案

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「收集代理程式」。
3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「設定檔」。
3. 複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

1. 以管理員身分開啟「命令提示字元」或「PowerShell」。

2. 執行下列指令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安裝

1. 開啟具有根層級或 sudo 權限的終端機。

2. 執行下列指令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安裝資源

• 如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

1. 存取設定檔：

   1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
   2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

2. 按照下列方式編輯 config.yaml 檔案：

   • 選項 A：UDP 設定

         receivers:
         udplog:
             # Replace the port and IP address as required
             listen_address: "0.0.0.0:514"
     
         exporters:
         chronicle/chronicle_w_labels:
             compression: gzip
             # Adjust the path to the credentials file you downloaded in Step 1
             creds_file_path: '/path/to/ingestion-authentication-file.json'
             # Replace with your actual customer ID from Step 2
             customer_id: <customer_id>
             endpoint: malachiteingestion-pa.googleapis.com
             # Add optional ingestion labels for better organization
             log_type: 'CLAROTY_XDOME'
             raw_log_field: body
             ingestion_labels:
     
         service:
         pipelines:
             logs/source0__chronicle_w_labels-0:
             receivers:
                 - udplog
             exporters:
                 - chronicle/chronicle_w_labels
         ```
     

   • 選項 B：TCP，並設定 TLS (建議使用，確保安全性)

     receivers:
     tcplog:
         # Replace the port and IP address as required
         listen_address: "0.0.0.0:514"
         tls:
         # Path to the server's public TLS certificate file when using self-signed certificates
         cert_file: /etc/bindplane/certs/cert.pem
         key_file: /etc/bindplane/certs/key.pem
     
     exporters:
     chronicle/chronicle_w_labels:
         compression: gzip
         # Adjust the path to the credentials file you downloaded in Step 1
         creds_file_path: '/path/to/ingestion-authentication-file.json'
         # Replace with your actual customer ID from Step 2
         customer_id: <customer_id>
         endpoint: malachiteingestion-pa.googleapis.com
         # Add optional ingestion labels for better organization
         log_type: 'CLAROTY_XDOME'
         raw_log_field: body
         ingestion_labels:
     
     service:
     pipelines:
         logs/source0__chronicle_w_labels-0:
         receivers:
             - tcplog
         exporters:
             - chronicle/chronicle_w_labels
     

     • 視基礎架構需求替換通訊埠和 IP 位址。
     • 將 <customer_id> 替換為實際的客戶 ID。
     • 將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。
     • 如要設定 TLS，請確認憑證檔案位於指定路徑，或視需要產生自行簽署的憑證。

重新啟動 Bindplane 代理程式，以套用變更

• 如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

  sudo systemctl restart bindplane-agent
  

• 如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

詳細的系統記錄設定

1. 登入 Claroty xDome 網頁版 UI。
2. 按一下導覽列中的「設定」分頁標籤。
3. 在下拉式選單中選取「系統設定」。
4. 按一下「整合」部分中的「我的整合」。
5. 按一下「+ 新增整合」。
6. 從「類別」下拉式選單中選取「內部服務」。
7. 從「整合」下拉式選單中選取「SIEM」和「Syslog」。
8. 按一下「新增」。
9. 輸入下列設定詳細資料：
   • 目的地 IP：輸入 Bindplane 代理程式 IP 位址。
   • 傳輸通訊協定：根據 Bindplane 設定選取 UDP、TCP 或 TLS。
   • 如果選取 TLS 安全性通訊協定，請按照下列步驟操作：
     • 勾選「檢查主機名稱」選項，驗證伺服器的主機名稱是否與 X.509 憑證中的任何名稱相符。
     • 勾選「使用自訂憑證授權單位」選項，即可使用自訂憑證授權單位 (CA) 取代預設 CA。上傳自訂憑證檔案，或將憑證 (PEM 格式) 插入提供的空間。
   • 目的地通訊埠：TCP、TLS 和 UDP 的預設值為 514。(將游標懸停在欄位上，即可使用可點選的箭頭選取其他目的地連接埠)。
   • 進階選項：輸入進階選項設定：
     • 訊息格式：選取「CEF」 (其他選項包括 JSON 或 LEEF 格式)。
     • 系統記錄檔通訊協定標準：選取 RFC 5424 或 RFC 3164。
   • 整合名稱：輸入整合的名稱 (例如 Google SecOps syslog)。
   • 部署選項：視 xDome 設定而定，選取「從收集伺服器執行」或「從雲端執行」選項。
10. 前往「整合工作」參數。
11. 開啟「Export Claroty xDome Communication Events Using Syslog」(使用 Syslog 匯出 Claroty xDome 通訊事件) 選項，即可匯出 Claroty xDome 通訊事件。
12. 在「事件類型選取」下拉式選單中，按一下「全選」。

13. 選擇要匯出的裝置條件：選取「所有裝置」選項，匯出所有受影響裝置的通訊事件資料。

14. 開啟「Export Claroty xDome Device Changes Alerts Change Log to Syslog」(將 Claroty xDome 裝置變更快訊變更記錄匯出至 Syslog) 選項，即可匯出 Claroty xDome 變更事件。

15. 在「變更事件類型選取」下拉式選單中，選取要匯出的「變更事件類型」。

16. 選擇要匯出的裝置條件：選取「所有裝置」，匯出所有受影響裝置的變更事件資料。

17. 開啟「Export Claroty xDome Alert Information for Affected Devices Using Syslog」(使用系統記錄匯出受影響裝置的 Claroty xDome 快訊資訊) 選項，即可匯出任何快訊類型的快訊資訊，包括自訂快訊。

18. 在「快訊類型」中，按一下「全選」。

19. 開啟「Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog」(使用系統記錄匯出受影響裝置的 Claroty xDome 安全漏洞資訊) 選項，匯出 Claroty xDome 安全漏洞類型。

20. 在「Vulnerability Types Selection」(選取弱點類型) 下拉式選單中，選取要匯出的弱點類型。

21. 指定 CVSS 門檻號碼。這個參數可讓您設定 CVSS 門檻，透過 Syslog 傳送安全漏洞。系統只會匯出大於或等於這個門檻的安全漏洞。如果 CVSS V3 分數不明，系統預設會將門檻還原為 CVSS V3 基礎分數，並還原為 CVSS V2 基礎分數。

22. 選擇要匯出的裝置條件：選取「所有裝置」，匯出所有受影響裝置的資料。

23. 開啟「Export Claroty xDome Server Incidents Information to Syslog」(將 Claroty xDome 伺服器事件資訊匯出至系統記錄) 選項，即可匯出 Claroty xDome 伺服器事件。

24. 從「Collection Server Selection」下拉式選單中，選取要匯出的收集伺服器類型。

25. 在「Server Incidents Selection」(伺服器事件選取) 下拉式選單中，選取要匯出的伺服器事件。

26. 按一下「套用」，儲存設定。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。