Recopila registros de Claroty xDome

Compatible con:

En este documento, se explica cómo transferir los registros de Claroty xDome a las Operaciones de seguridad de Google con un agente de Bindplane. El analizador procesa los registros en formato JSON y los transforma en el modelo de datos unificado (UDM). Limpia la entrada, analiza los datos JSON, asigna campos al UDM, controla tipos y niveles de gravedad de eventos específicos, y enriquece el UDM con metadatos y detalles adicionales.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Un host de Windows 2016 o posterior, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso con privilegios a Claroty xDome

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.
  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.
  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).
  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            log_type: 'CLAROTY_XDOME'
            raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configura Syslog en Claroty xDome

  1. Accede a la IU web de Claroty xDome.
  2. Haz clic en la pestaña Configuración en la barra de navegación.
  3. Selecciona Configuración del sistema en el menú.
  4. Haz clic en Mis integraciones en la sección Integraciones.
  5. Haz clic en Agregar integración.
  6. Selecciona Internal Services en el menú Category.
  7. Selecciona SIEM y Syslog en el menú Integración.
  8. Haz clic en Agregar.
  9. Ingresa los siguientes detalles de configuración:
    1. IP de destino: Ingresa la dirección IP del agente de Bindplane.
    2. Transport Protocol: Selecciona UDP (también puedes seleccionar TCP o TLS según la configuración de Bindplane).
    3. Si seleccionas el protocolo de seguridad TLS, haz lo siguiente:
      • Marca la opción Verificar nombres de host para verificar si el nombre de host del servidor coincide con alguno de los nombres presentes en X. 509.
      • Marca la opción Usar autoridad certificadora personalizada para usar una autoridad certificadora (CA) personalizada en lugar de la CA predeterminada. Sube el archivo de certificado personalizado o inserta el certificado (en formato PEM) en el espacio proporcionado.
    4. Puerto de destino: El valor predeterminado para TCP, TLS y UDP es 514. (Pasa el cursor sobre el campo para usar las flechas en las que se puede hacer clic y seleccionar un puerto de destino diferente).
    5. Opciones avanzadas: Ingresa los siguientes parámetros de configuración:
      • Formato del mensaje: Selecciona JSON.
      • Estándar del protocolo Syslog: Selecciona RFC 5424 o RFC 3164.
    6. Nombre de la integración: Ingresa un nombre significativo para la integración (por ejemplo, Google SecOps syslog).
    7. Opciones de implementación: Selecciona la opción Ejecutar desde el servidor de recopilación o Ejecutar desde la nube, según la configuración de xDome.
  10. Ve a los parámetros de Integration Tasks.
  11. Activa la opción Export Claroty xDome Communication Events Using Syslog para habilitar la exportación de eventos de comunicación de Claroty xDome.
  12. En el menú Selección de tipos de eventos, haz clic en Seleccionar todo.
  13. Elige las condiciones del dispositivo para exportar: Selecciona la opción Todos los dispositivos para exportar los datos de eventos de comunicación de todos los dispositivos afectados.

  14. Activa la opción Export Claroty xDome Device Changes Alerts Change Log to Syslog para exportar los eventos de cambio de Claroty xDome.

  15. En el menú Change Event Types Selection, selecciona los tipos de eventos de cambio que deseas exportar.

  16. Elige las condiciones del dispositivo que deseas exportar: Selecciona Todos los dispositivos para exportar los datos del evento de cambio de todos los dispositivos afectados.

  17. Activa la opción Export Claroty xDome Alert Information for Affected Devices Using Syslog para exportar información de alertas de cualquier tipo, incluidas las alertas personalizadas.

  18. En Tipos de alertas, haz clic en Seleccionar todo.

  19. Activa la opción Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog para exportar los tipos de vulnerabilidades de Claroty xDome.

  20. En el menú Selección de tipos de vulnerabilidades, selecciona los tipos de vulnerabilidades que deseas exportar.

  21. Especifica el número de Umbral de CVSS. Este parámetro te permite establecer un umbral de CVSS para enviar una vulnerabilidad a través de Syslog. (Solo se exportarán las vulnerabilidades mayores o iguales a este umbral. El umbral volverá a la puntuación base de CVSS V3 de forma predeterminada y a la puntuación base de CVSS V2 si se desconoce la puntuación de CVSS V3.

  22. Elige las condiciones del dispositivo para exportar: Selecciona Todos los dispositivos para exportar los datos de todos los dispositivos afectados.

  23. Activa la opción Export Claroty xDome Server Incidents Information to Syslog para exportar los incidentes del servidor de Claroty xDome.

  24. Selecciona los tipos de servidores de recopilación que deseas exportar en el menú Selección de servidores de recopilación.

  25. En el menú Selección de incidentes del servidor, selecciona los incidentes del servidor que deseas exportar.

  26. Haz clic en Aplicar para guardar la configuración.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.