Diese Seite wurde von der Cloud Translation API übersetzt.

Claroty xDome-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die Claroty xDome-Logs mithilfe eines Bindplane-Agents in Google Security Operations aufnehmen. Der Parser verarbeitet die Logs im JSON-Format und wandelt sie in das einheitliche Datenmodell (Unified Data Model, UDM) um. Sie bereinigt die Eingabe, parst die JSON-Daten, ordnet Felder dem UDM zu, verarbeitet bestimmte Ereignistypen und Schweregrade und reichert das UDM mit zusätzlichen Metadaten und Details an.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows-Host mit Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf Claroty xDome

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLAROTY_XDOME'
        raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Claroty xDome konfigurieren

Melden Sie sich in der Claroty xDome-Web-UI an.
Klicken Sie in der Navigationsleiste auf den Tab Einstellungen.
Wählen Sie im Menü Systemeinstellungen aus.
Klicken Sie im Bereich Integrationen auf Meine Integrationen.
Klicken Sie auf Integration hinzufügen.
Wählen Sie im Menü Kategorie die Option Interne Dienste aus.
Wählen Sie im Menü Integration die Optionen SIEM und Syslog aus.
Klicken Sie auf Hinzufügen.
Geben Sie die folgenden Konfigurationsdetails ein:
1. Ziel-IP: Geben Sie die IP-Adresse des Bindplane-Agents ein.
2. Transport Protocol (Transportprotokoll): Wählen Sie UDP aus. Je nach Bindplane-Konfiguration können Sie auch TCP oder TLS auswählen.
3. Wenn Sie das TLS-Sicherheitsprotokoll auswählen, gehen Sie so vor:
  - Aktivieren Sie die Option Check Hostnames (Hostnamen prüfen), um zu prüfen, ob der Hostname des Servers mit einem der Namen im X. 509-Zertifikat.
  - Aktivieren Sie die Option Benutzerdefinierte Zertifizierungsstelle verwenden, um eine benutzerdefinierte Zertifizierungsstelle anstelle der Standard-Zertifizierungsstelle zu verwenden. Laden Sie die benutzerdefinierte Zertifikatsdatei hoch oder fügen Sie das Zertifikat (im PEM-Format) in den dafür vorgesehenen Bereich ein.
4. Zielport: Der Standardwert für TCP, TLS und UDP ist 514. Bewegen Sie den Mauszeiger auf das Feld, um mit den klickbaren Pfeilen einen anderen Zielport auszuwählen.
5. Erweiterte Optionen: Geben Sie die folgenden Einstellungen ein:
  - Nachrichtenformat: Wählen Sie JSON aus.
  - Syslog-Protokollstandard: Wählen Sie RFC 5424 oder RFC 3164 aus.
6. Name der Integration: Geben Sie einen aussagekräftigen Namen für die Integration ein, z. B. Google SecOps syslog.
7. Bereitstellungsoptionen: Wählen Sie je nach xDome-Konfiguration die Option Vom Erfassungsserver ausführen oder Aus der Cloud ausführen aus.
Rufen Sie die Parameter für Integrationsaufgaben auf.
Aktivieren Sie die Option Export Claroty xDome Communication Events Using Syslog (Claroty xDome-Kommunikationsereignisse über Syslog exportieren), um den Export von Claroty xDome-Kommunikationsereignissen zu aktivieren.
Klicken Sie im Menü Ereignistypen auswählen auf Alle auswählen.
Gerätebedingungen für den Export auswählen: Wählen Sie die Option Alle Geräte aus, um die Daten zu Kommunikationsereignissen aller betroffenen Geräte zu exportieren.

Hinweis :Damit Sie OT Activity-Ereignisse über Syslog erhalten, müssen Sie OT Activity-Benachrichtigungen für die entsprechenden Ereignistypen erstellen und aktivieren. Das liegt daran, dass xDome nur Ereignisse im Zusammenhang mit Benachrichtigungen für OT-Aktivitäten sendet.
Aktivieren Sie die Option Export Claroty xDome Device Changes Alerts Change Log to Syslog (Änderungsprotokoll für Claroty xDome-Geräteänderungsbenachrichtigungen in Syslog exportieren), um Claroty xDome-Änderungsereignisse zu exportieren.
Wählen Sie im Menü Change Event Types Selection (Auswahl der Änderungsereignistypen) die change event types (Änderungsereignistypen) aus, die Sie exportieren möchten.
Gerätebedingungen für den Export auswählen: Wählen Sie Alle Geräte aus, um die Änderungsereignisdaten aller betroffenen Geräte zu exportieren.
Aktivieren Sie die Option Export Claroty xDome Alert Information for Affected Devices Using Syslog (Claroty xDome-Benachrichtigungsinformationen für betroffene Geräte über Syslog exportieren), um Benachrichtigungsinformationen für alle Benachrichtigungstypen, einschließlich benutzerdefinierter Benachrichtigungen, zu exportieren.
Klicken Sie unter „Benachrichtigungstypen“ auf Alle auswählen.
Aktivieren Sie die Option Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog (Claroty xDome-Schwachstelleninformationen für betroffene Geräte über Syslog exportieren), um Claroty xDome-Schwachstellentypen zu exportieren.
Wählen Sie im Menü Vulnerability Types Selection (Auswahl der Sicherheitslückentypen) die Vulnerability types (Sicherheitslückentypen) aus, die Sie exportieren möchten.
Geben Sie die CVSS-Grenzwert-Nummer an. Mit diesem Parameter können Sie einen CVSS-Schwellenwert festlegen, um eine Sicherheitslücke über Syslog zu senden. Es werden nur Sicherheitslücken exportiert, die größer oder gleich diesem Schwellenwert sind. Der Schwellenwert wird standardmäßig auf den CVSS V3-Basiswert und auf den CVSS V2-Basiswert zurückgesetzt, wenn der CVSS V3-Wert unbekannt ist.
Gerätebedingungen für den Export auswählen: Wählen Sie Alle Geräte aus, um die Daten aller betroffenen Geräte zu exportieren.
Aktivieren Sie die Option Export Claroty xDome Server Incidents Information to Syslog (Informationen zu Claroty xDome-Servervorfällen in Syslog exportieren), um Claroty xDome-Servervorfälle zu exportieren.
Wählen Sie im Menü Collection Server Selection (Auswahl des Erfassungsservers) die zu exportierenden Typen von Erfassungsservern aus.
Wählen Sie im Menü Server Incidents Selection (Servervorfälle auswählen) die Servervorfälle aus, die Sie exportieren möchten.
Klicken Sie auf Übernehmen, um die Konfigurationseinstellungen zu speichern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten