Raccogliere i log di Xcitium Endpoint Security
Questo documento spiega come importare i log di Xcitium Endpoint Security (in precedenza Comodo) in Google Security Operations utilizzando l'agente Bindplane.
Xcitium Endpoint Security è una piattaforma di protezione degli endpoint che combina tecnologie antivirus, firewall, di prevenzione e contenimento delle intrusioni per proteggere gli endpoint da minacce note e sconosciute. Utilizza un approccio di negazione predefinita con il contenimento automatico per isolare file e processi non riconosciuti, impedendo loro di causare danni durante l'analisi.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e gli endpoint gestiti da Xcitium
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi alla console Xcitium Endpoint Manager (in precedenza Comodo ITSM / ITarian)
- Ruolo di amministratore in Xcitium Endpoint Manager per modificare i profili di configurazione e le impostazioni del portale
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
- Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/comodo_av: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COMODO_AV raw_log_field: body ingestion_labels: service: pipelines: logs/comodo_to_chronicle: receivers: - udplog exporters: - chronicle/comodo_av
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: l'indirizzo IP e la porta da ascoltare. Utilizza0.0.0.0per ascoltare su tutte le interfacce. La porta syslog predefinita è514.
Configurazione dell'esportatore:
creds_file_path: il percorso completo del file di autenticazione importazione.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente della console Google SecOps.endpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura l'inoltro di syslog di Xcitium Endpoint Security
Xcitium Endpoint Manager fornisce due livelli di inoltro syslog. Configura entrambi per garantire una copertura completa dei log.
Configura l'inoltro di syslog a livello di endpoint (Xcitium Client - Security logs)
- Accedi alla console Xcitium Endpoint Manager.
- Vai a Modelli di configurazione > Profili.
- Fai clic sul profilo Windows che vuoi modificare o creane uno nuovo.
- Fai clic su Aggiungi sezione del profilo > Impostazioni di registrazione.
- Nella sezione Xcitium Client - Security, abilita Write to Syslog Server.
- Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane.
- Porta: inserisci il numero di porta configurato nell'agente Bindplane (ad esempio,
514).
- (Facoltativo) Attiva Scrivi nel file di log (formato CEF) per conservare una copia locale dei log nel formato Common Event Format.
- Nella sezione Client di comunicazione, abilita Scrivi al server Syslog.
- Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane.
- Porta: inserisci il numero di porta configurato nell'agente Bindplane (ad esempio,
514).
- Seleziona i tipi di eventi per i quali vengono raccolti i log:
- Monitoraggio dei log
- Log degli script
- Log delle patch del sistema operativo
- Log degli aggiornamenti delle applicazioni di terze parti
- Log di installazione dell'applicazione
- Disinstalla log
- Log di comunicazione dell'agente EDR (Event Detection and Response)
- Log di comunicazione di Xcitium Client - Security (XCS)
- Log delle comunicazioni del telecomando
- Log operativi
- Fai clic su Salva.
Configura l'inoltro di syslog a livello di portale (audit log)
- Accedi alla console Xcitium Endpoint Manager.
- Vai a Impostazioni > Configurazione del portale > Impostazioni di registrazione.
- Fai clic su Modifica.
- Attiva Scrivi sul server syslog.
- Fornisci i seguenti dettagli di configurazione:
- Host: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane.
- Porta: inserisci il numero di porta configurato nell'agente Bindplane (ad esempio,
514).
Fai clic su Salva.
Per ulteriori informazioni, consulta la documentazione sulle impostazioni di logging di Xcitium Endpoint Manager e Configurare le impostazioni dei log di controllo.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
event_type |
metadata.event_type |
Rinominate/mappate |
data5 |
principal.application |
Mappato direttamente |
data3 |
principal.asset.platform_software.platform_version |
Mappato direttamente |
dvchost |
principal.hostname |
Mappato direttamente |
dvc |
principal.ip |
Unita |
data4 |
principal.user.product_object_id |
Mappato direttamente |
filePath |
target.file.full_path |
Mappato direttamente |
fname |
target.process.parent_process.file.full_path |
Mappato direttamente |
suser |
target.user.userid |
Mappato direttamente |
| N/D | metadata.product_name |
Costante: COMODO_AV |
| N/D | metadata.vendor_name |
Costante: COMODO |
| N/D | principal.ip |
Costante: dvc |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.