Mengumpulkan log Claroty xDome

Dokumen ini menjelaskan cara menyerap log Claroty xDome ke Google Security Operations menggunakan agen Bindplane. Parser memproses log dalam format JSON, lalu mengubahnya menjadi Model Data Terpadu (UDM). Proses ini membersihkan input, mengurai data JSON, memetakan kolom ke UDM, menangani jenis dan tingkat keparahan peristiwa tertentu, serta memperkaya UDM dengan metadata dan detail tambahan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Host Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
• Jika dijalankan di belakang proxy, port firewall terbuka
• Akses istimewa ke Claroty xDome

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:
   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           log_type: 'CLAROTY_XDOME'
           raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
   • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
   • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi Syslog di Claroty xDome

1. Login ke UI Web Claroty xDome.
2. Klik tab Setelan di menu navigasi.
3. Pilih Setelan Sistem dari menu.
4. Klik Integrasi Saya di bagian Integrasi.
5. Klik Tambahkan Integrasi.
6. Pilih Layanan Internal dari menu Kategori.
7. Pilih SIEM dan Syslog dari menu Integrasi.
8. Klik Tambahkan.
9. Masukkan detail konfigurasi berikut:
   1. IP tujuan: Masukkan alamat IP agen Bindplane.
   2. Transport Protocol: Pilih UDP (Anda juga dapat memilih TCP, atau TLS, bergantung pada konfigurasi Bindplane Anda).
   3. Jika Anda memilih protokol keamanan TLS, lakukan tindakan berikut:
      • Centang opsi Periksa Nama Host untuk memverifikasi apakah nama host server cocok dengan salah satu nama yang ada di X. 509 certificate.
      • Centang opsi Gunakan Certificate Authority Kustom untuk menggunakan Certificate Authority (CA) kustom, bukan CA default. Upload file sertifikat kustom atau masukkan sertifikat (dalam format PEM) ke tempat yang disediakan.
   4. Port Tujuan: Nilai default untuk TCP, TLS, dan UDP adalah 514. (Arahkan kursor ke kolom untuk menggunakan panah yang dapat diklik guna memilih port tujuan yang berbeda).
   5. Opsi Lanjutan: Masukkan setelan berikut:
      • Format Pesan: Pilih JSON.
      • Standar Protokol Syslog: Pilih RFC 5424 atau RFC 3164.
   6. Nama Integrasi: Masukkan nama yang bermakna untuk integrasi (misalnya, Google SecOps syslog).
   7. Opsi deployment: Pilih opsi Run from the collection server atau Run from the cloud, bergantung pada konfigurasi xDome Anda.
10. Buka parameter Integration Tasks.
11. Aktifkan opsi Export Claroty xDome Communication Events Using Syslog untuk mengaktifkan ekspor peristiwa komunikasi Claroty xDome.
12. Dari menu Pemilihan Jenis Peristiwa, klik Pilih Semua.

13. Pilih kondisi perangkat yang akan diekspor: Pilih opsi Semua Perangkat untuk mengekspor data peristiwa komunikasi dari semua perangkat yang terpengaruh.

14. Aktifkan opsi Export Claroty xDome Device Changes Alerts Change Log to Syslog untuk mengekspor peristiwa perubahan Claroty xDome.

15. Di menu Ubah Pilihan Jenis Peristiwa, pilih jenis peristiwa perubahan yang ingin Anda ekspor.

16. Pilih kondisi perangkat yang ingin Anda ekspor: Pilih Semua Perangkat untuk mengekspor data peristiwa perubahan semua perangkat yang terpengaruh.

17. Aktifkan opsi Export Claroty xDome Alert Information for Affected Devices Using Syslog untuk mengekspor informasi pemberitahuan untuk semua jenis pemberitahuan, termasuk pemberitahuan kustom.

18. Dari jenis pemberitahuan, klik Pilih Semua.

19. Aktifkan opsi Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog untuk mengekspor jenis kerentanan Claroty xDome.

20. Di menu Vulnerability Types Selection, pilih Vulnerability types yang ingin Anda ekspor.

21. Tentukan angka CVSS Threshold. Parameter ini memungkinkan Anda menetapkan nilai minimum CVSS untuk mengirim kerentanan menggunakan Syslog. (Hanya kerentanan yang lebih besar atau sama dengan nilai minimum ini yang akan diekspor. Nilai minimum akan kembali ke Skor Dasar CVSS V3 secara default dan Skor Dasar CVSS V2 jika skor CVSS V3 tidak diketahui).

22. Pilih kondisi perangkat yang akan diekspor: Pilih Semua Perangkat untuk mengekspor data semua perangkat yang terpengaruh.

23. Aktifkan opsi Export Claroty xDome Server Incidents Information to Syslog untuk mengekspor insiden server Claroty xDome.

24. Pilih jenis server pengumpulan yang ingin Anda ekspor dari menu Pemilihan Server Pengumpulan.

25. Pilih insiden server yang ingin Anda ekspor di menu Server Incidents Selection.

26. Klik Terapkan untuk menyimpan setelan konfigurasi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.