Collecter les journaux Claroty xDome
Ce document explique comment ingérer les journaux Claroty xDome dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur traite les journaux au format JSON et les transforme en Unified Data Model (UDM). Il nettoie l'entrée, analyse les données JSON, mappe les champs à l'UDM, gère des types et des niveaux de gravité d'événements spécifiques, et enrichit l'UDM avec des métadonnées et des détails supplémentaires.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Un hôte Windows 2016 ou version ultérieure, ou un hôte Linux avec
systemd
- Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
- Accès privilégié à Claroty xDome
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez au fichier de configuration :
- Recherchez le fichier
config.yaml
. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/
sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano
,vi
ou le Bloc-notes).
- Recherchez le fichier
Modifiez le fichier
config.yaml
comme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez
<customer_id>
par le numéro client réel. - Mettez à jour
/path/to/ingestion-authentication-file.json
en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart bindplane-agent
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer Syslog sur Claroty xDome
- Connectez-vous à l'interface utilisateur Web Claroty xDome.
- Cliquez sur l'onglet Paramètres dans la barre de navigation.
- Sélectionnez Paramètres système dans le menu.
- Cliquez sur Mes intégrations dans la section Intégrations.
- Cliquez sur Add Integration (Ajouter une intégration).
- Sélectionnez Services internes dans le menu Catégorie.
- Sélectionnez SIEM et Syslog dans le menu Intégration.
- Cliquez sur Ajouter.
- Saisissez les informations de configuration suivantes :
- Adresse IP de destination : saisissez l'adresse IP de l'agent Bindplane.
- Protocole de transport : sélectionnez UDP (vous pouvez également sélectionner TCP ou TLS en fonction de votre configuration Bindplane).
- Si vous sélectionnez le protocole de sécurité TLS, procédez comme suit :
- Cochez l'option Vérifier les noms d'hôte pour vérifier si le nom d'hôte du serveur correspond à l'un des noms présents dans le champ X. 509.
- Cochez l'option Utiliser une autorité de certification personnalisée pour utiliser une autorité de certification personnalisée au lieu de l'autorité de certification par défaut. Importez le fichier de certificat personnalisé ou insérez le certificat (au format PEM) dans l'espace prévu à cet effet.
- Port de destination : la valeur par défaut pour TCP, TLS et UDP est 514. (Pointez sur le champ pour utiliser les flèches cliquables et sélectionner un autre port de destination.)
- Options avancées : saisissez les paramètres suivants :
- Format du message : sélectionnez JSON.
- Norme du protocole Syslog : sélectionnez RFC 5424 ou RFC 3164.
- Nom de l'intégration : saisissez un nom explicite pour l'intégration (par exemple,
Google SecOps syslog
). - Options de déploiement : sélectionnez l'option Exécuter à partir du serveur de collecte ou Exécuter à partir du cloud, en fonction de votre configuration xDome.
- Accédez aux paramètres Integration Tasks (Tâches d'intégration).
- Activez l'option Exporter les événements de communication Claroty xDome à l'aide de Syslog pour activer l'exportation des événements de communication Claroty xDome.
- Dans le menu Sélection des types d'événements, cliquez sur Tout sélectionner.
Choisissez les conditions de l'appareil à exporter : sélectionnez l'option Tous les appareils pour exporter les données des événements de communication de tous les appareils concernés.
Activez l'option Exporter le journal des modifications des alertes de modification des appareils Claroty xDome vers Syslog pour exporter les événements de modification Claroty xDome.
Dans le menu Sélectionner les types d'événements de modification, sélectionnez les types d'événements de modification que vous souhaitez exporter.
Choisissez les états des appareils que vous souhaitez exporter : sélectionnez Tous les appareils pour exporter les données des événements de modification de tous les appareils concernés.
Activez l'option Exporter les informations sur les alertes Claroty xDome pour les appareils concernés à l'aide de Syslog pour exporter les informations sur les alertes pour n'importe quel type d'alerte, y compris les alertes personnalisées.
Dans "Types d'alertes", cliquez sur Tout sélectionner.
Activez l'option Exporter les informations sur les failles Claroty xDome pour les appareils concernés à l'aide de Syslog pour exporter les types de failles Claroty xDome.
Dans le menu Sélection des types de failles, sélectionnez les types de failles que vous souhaitez exporter.
Spécifiez le numéro du seuil CVSS. Ce paramètre vous permet de définir un seuil CVSS pour envoyer une faille à l'aide de Syslog. (Seules les failles de sécurité supérieures ou égales à ce seuil seront exportées. Le seuil reviendra par défaut au score de base CVSS V3 (ou au score de base CVSS V2 si le score CVSS V3 est inconnu).
Choisissez les conditions des appareils à exporter : sélectionnez Tous les appareils pour exporter les données de tous les appareils concernés.
Activez l'option Exporter les informations sur les incidents du serveur Claroty xDome vers Syslog pour exporter les incidents du serveur Claroty xDome.
Dans le menu Sélection du serveur de collecte, sélectionnez les types de serveurs de collecte que vous souhaitez exporter.
Dans le menu Sélection des incidents liés au serveur, sélectionnez les incidents liés au serveur que vous souhaitez exporter.
Cliquez sur Appliquer pour enregistrer les paramètres de configuration.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.