Raccogliere i log di Claroty xDome

Supportato in:

Questo documento spiega come importare i log di Claroty xDome in Google Security Operations utilizzando un agente Bindplane. Il parser elabora i log in formato JSON, trasformandoli nel modello Unified Data Model (UDM). Pulisce l'input, analizza i dati JSON, mappa i campi a UDM, gestisce tipi di eventi specifici e gravità e arricchisce UDM con metadati e dettagli aggiuntivi.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un host Windows 2016 o versioni successive oppure Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso con privilegi a Claroty xDome

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul tuo sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLAROTY_XDOME'
        raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Syslog su Claroty xDome

  1. Accedi all'UI web di Claroty xDome.
  2. Fai clic sulla scheda Impostazioni nella barra di navigazione.
  3. Seleziona Impostazioni di sistema dal menu.
  4. Fai clic su Le mie integrazioni nella sezione Integrazioni.
  5. Fai clic su Aggiungi integrazione.
  6. Seleziona Servizi interni dal menu Categoria.
  7. Seleziona SIEM e Syslog dal menu Integrazione.
  8. Fai clic su Aggiungi.
  9. Inserisci i seguenti dettagli di configurazione:
    1. IP di destinazione: inserisci l'indirizzo IP dell'agente Bindplane.
    2. Protocollo di trasporto: seleziona UDP (puoi anche selezionare TCP o TLS a seconda della configurazione di Bindplane).
    3. Se selezioni il protocollo di sicurezza TLS, procedi nel seguente modo:
      • Seleziona l'opzione Controlla nomi host per verificare se il nome host del server corrisponde a uno dei nomi presenti in X. 509.
      • Seleziona l'opzione Utilizza autorità di certificazione personalizzata per utilizzare un'autorità di certificazione (CA) personalizzata anziché quella predefinita. Carica il file del certificato personalizzato o inserisci il certificato (in formato PEM) nello spazio fornito.
    4. Porta di destinazione: il valore predefinito per TCP, TLS e UDP è 514. Passa il mouse sopra il campo per utilizzare le frecce selezionabili per scegliere una porta di destinazione diversa.
    5. Opzioni avanzate: inserisci le seguenti impostazioni:
      • Formato messaggio: seleziona JSON.
      • Standard del protocollo Syslog: seleziona RFC 5424 o RFC 3164.
    6. Nome integrazione: inserisci un nome significativo per l'integrazione (ad esempio, Google SecOps syslog).
    7. Opzioni di deployment: seleziona l'opzione Esegui dal server di raccolta o Esegui dal cloud, a seconda della configurazione di xDome.
  10. Vai ai parametri Attività di integrazione.
  11. Attiva l'opzione Esporta eventi di comunicazione Claroty xDome utilizzando Syslog per attivare l'esportazione degli eventi di comunicazione Claroty xDome.
  12. Nel menu Selezione dei tipi di eventi, fai clic su Seleziona tutto.

  13. Scegli le condizioni del dispositivo da esportare: seleziona l'opzione Tutti i dispositivi per esportare i dati degli eventi di comunicazione di tutti i dispositivi interessati.

  14. Attiva l'opzione Esporta log delle modifiche degli avvisi di modifica dei dispositivi Claroty xDome in Syslog per esportare gli eventi di modifica di Claroty xDome.

  15. Nel menu Modifica selezione tipi di eventi, seleziona i tipi di eventi di modifica che vuoi esportare.

  16. Scegli le condizioni del dispositivo da esportare: seleziona Tutti i dispositivi per esportare i dati degli eventi di modifica di tutti i dispositivi interessati.

  17. Attiva l'opzione Esporta informazioni sugli avvisi di Claroty xDome per i dispositivi interessati utilizzando Syslog per esportare le informazioni sugli avvisi per qualsiasi tipo di avviso, inclusi quelli personalizzati.

  18. In Tipi di avvisi, fai clic su Seleziona tutto.

  19. Attiva l'opzione Esporta informazioni sulle vulnerabilità di Claroty xDome per i dispositivi interessati utilizzando Syslog per esportare i tipi di vulnerabilità di Claroty xDome.

  20. Nel menu Selezione dei tipi di vulnerabilità, seleziona i Tipi di vulnerabilità che vuoi esportare.

  21. Specifica il numero Soglia CVSS. Questo parametro consente di impostare una soglia CVSS per inviare una vulnerabilità utilizzando Syslog. Verranno esportate solo le vulnerabilità maggiori o uguali a questa soglia. La soglia verrà ripristinata al punteggio di base CVSS V3 per impostazione predefinita e al punteggio di base CVSS V2 se il punteggio CVSS V3 è sconosciuto.

  22. Scegli le condizioni del dispositivo da esportare: seleziona Tutti i dispositivi per esportare i dati di tutti i dispositivi interessati.

  23. Attiva l'opzione Esporta informazioni sugli incidenti del server Claroty xDome in Syslog per esportare gli incidenti del server Claroty xDome.

  24. Seleziona i tipi di server di raccolta che vuoi esportare dal menu Selezione server di raccolta.

  25. Seleziona gli incidenti del server che vuoi esportare nel menu Selezione incidenti del server.

  26. Fai clic su Applica per salvare le impostazioni di configurazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.