Esta página se ha traducido con Cloud Translation API.

Recopilar registros de Claroty xDome

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir los registros de Claroty xDome en Google Security Operations mediante un agente de Bindplane. El analizador procesa los registros en formato JSON y los transforma en el modelo de datos unificado (UDM). Limpia la entrada, analiza los datos JSON, asigna campos a UDM, gestiona tipos de eventos y gravedades específicos, y enriquece UDM con metadatos y detalles adicionales.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps
Un host Windows 2016 o posterior, o un host Linux con systemd
Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
Acceso privilegiado a Claroty xDome

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLAROTY_XDOME'
        raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar Syslog en Claroty xDome

Inicia sesión en la interfaz web de Claroty xDome.
En la barra de navegación, haz clic en la pestaña Configuración.
En el menú, selecciona Configuración del sistema.
En la sección Integraciones, haz clic en Mis integraciones.
Haz clic en Add Integration (Añadir integración).
Seleccione Servicios internos en el menú Categoría.
Selecciona SIEM y Syslog en el menú Integración.
Haz clic en Añadir.
Introduce los siguientes detalles de configuración:
1. IP de destino: introduzca la dirección IP del agente de Bindplane.
2. Protocolo de transporte: selecciona UDP (también puedes seleccionar TCP o TLS en función de tu configuración de Bindplane).
3. Si seleccionas el protocolo de seguridad TLS, haz lo siguiente:
  - Marca la opción Comprobar nombres de host para verificar si el nombre de host del servidor coincide con alguno de los nombres presentes en X. 509.
  - Marca la opción Usar autoridad de certificación personalizada para usar una autoridad de certificación (AC) personalizada en lugar de la predeterminada. Sube el archivo de certificado personalizado o inserta el certificado (en formato PEM) en el espacio proporcionado.
4. Puerto de destino: el valor predeterminado de TCP, TLS y UDP es 514. Coloca el cursor sobre el campo para usar las flechas en las que se puede hacer clic y seleccionar otro puerto de destino.
5. Opciones avanzadas: introduce los siguientes ajustes:
  - Formato del mensaje: selecciona JSON.
  - Estándar del protocolo Syslog: selecciona RFC 5424 o RFC 3164.
6. Nombre de la integración: introduce un nombre descriptivo para la integración (por ejemplo, Google SecOps syslog).
7. Opciones de implementación: selecciona la opción Ejecutar desde el servidor de recogida o Ejecutar desde la nube, en función de la configuración de xDome.
Ve a los parámetros de Tareas de integración.
Activa la opción Export Claroty xDome Communication Events Using Syslog (Exportar eventos de comunicación de Claroty xDome mediante Syslog) para habilitar la exportación de eventos de comunicación de Claroty xDome.
En el menú Selección de tipos de evento, haga clic en Seleccionar todo.
Elige las condiciones de los dispositivos que quieres exportar: selecciona la opción Todos los dispositivos para exportar los datos de eventos de comunicación de todos los dispositivos afectados.

Nota: Para recibir eventos de actividad de OT a través de Syslog, es necesario crear y habilitar alertas de actividad de OT para los tipos de eventos pertinentes. Esto se debe a que xDome solo envía eventos relacionados con alertas de actividad de OT.
Activa la opción Export Claroty xDome Device Changes Alerts Change Log to Syslog (Exportar el registro de cambios de alertas de cambios de dispositivos de Claroty xDome a Syslog) para exportar los eventos de cambios de Claroty xDome.
En el menú Cambiar selección de tipos de eventos, selecciona los tipos de eventos que quieras exportar.
Elige las condiciones del dispositivo que quieras exportar: selecciona Todos los dispositivos para exportar los datos de eventos de cambio de todos los dispositivos afectados.
Active la opción Export Claroty xDome Alert Information for Affected Devices Using Syslog (Exportar información de alertas de Claroty xDome para dispositivos afectados mediante Syslog) para exportar información de alertas de cualquier tipo, incluidas las alertas personalizadas.
En Tipos de alerta, haz clic en Seleccionar todo.
Activa la opción Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog (Exportar información de vulnerabilidades de Claroty xDome para dispositivos afectados mediante Syslog) para exportar los tipos de vulnerabilidades de Claroty xDome.
En el menú Selección de tipos de vulnerabilidades, selecciona los tipos de vulnerabilidades que quieras exportar.
Especifica el número de umbral de CVSS. Este parámetro le permite definir un umbral de CVSS para enviar una vulnerabilidad mediante Syslog. Solo se exportarán las vulnerabilidades que sean iguales o superiores a este umbral. El umbral volverá a la puntuación base de CVSS V3 de forma predeterminada y a la puntuación base de CVSS V2 si se desconoce la puntuación de CVSS V3.
Elige las condiciones de los dispositivos que quieres exportar: selecciona Todos los dispositivos para exportar los datos de todos los dispositivos afectados.
Activa la opción Export Claroty xDome Server Incidents Information to Syslog (Exportar información de incidentes del servidor Claroty xDome a Syslog) para exportar los incidentes del servidor Claroty xDome.
En el menú Selección de servidor de recogida, elija los tipos de servidor de recogida que quiera exportar.
En el menú Selección de incidencias del servidor, selecciona las incidencias del servidor que quieras exportar.
Haga clic en Aplicar para guardar la configuración.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.