Coletar registros do Claroty xDome
Este documento explica como ingerir os registros do Claroty xDome no Google Security Operations usando um agente do Bindplane. O analisador processa os registros no formato JSON, transformando-os no modelo de dados unificado (UDM). Ele limpa a entrada, analisa os dados JSON, mapeia campos para UDM, processa tipos e gravidades de eventos específicos e enriquece o UDM com metadados e detalhes adicionais.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Um host Windows 2016 ou mais recente ou Linux com
systemd
- Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
- Acesso privilegiado ao Claroty xDome
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele fica no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
- Substitua
<customer_id>
pelo ID do cliente real. - Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agent
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no Claroty xDome
- Faça login na interface da Web do Claroty xDome.
- Clique na guia Configurações na barra de navegação.
- Selecione Configurações do sistema no menu.
- Clique em Minhas integrações na seção Integrações.
- Clique em Adicionar integração.
- Selecione Serviços internos no menu Categoria.
- Selecione SIEM e Syslog no menu Integração.
- Clique em Adicionar.
- Digite os seguintes detalhes de configuração:
- IP de destino: insira o endereço IP do agente do Bindplane.
- Protocolo de transporte: selecione UDP. Também é possível selecionar TCP ou TLS, dependendo da configuração do Bindplane.
- Se você selecionar o protocolo de segurança TLS, faça o seguinte:
- Marque a opção Verificar nomes de host para verificar se o nome do host do servidor corresponde a algum dos nomes presentes em X. 509.
- Marque a opção Usar autoridade de certificação personalizada para usar uma autoridade de certificação (CA) personalizada em vez da CA padrão. Faça upload do arquivo de certificado personalizado ou insira o certificado (no formato PEM) no espaço fornecido.
- Porta de destino: o valor padrão para TCP, TLS e UDP é 514. Passe o cursor sobre o campo para usar as setas clicáveis e selecionar uma porta de destino diferente.
- Opções avançadas: insira as seguintes configurações:
- Formato da mensagem: selecione JSON.
- Padrão do protocolo Syslog: selecione RFC 5424 ou RFC 3164.
- Nome da integração: insira um nome significativo para a integração (por exemplo,
Google SecOps syslog
). - Opções de implantação: selecione a opção Executar no servidor de coleta ou Executar na nuvem, dependendo da sua configuração do xDome.
- Acesse os parâmetros Tarefas de integração.
- Ative a opção Exportar eventos de comunicação do Claroty xDome usando Syslog para exportar esses eventos.
- No menu Seleção de tipos de evento, clique em Selecionar tudo.
Escolha as condições do dispositivo para exportar: selecione a opção Todos os dispositivos para exportar os dados de eventos de comunicação de todos os dispositivos afetados.
Ative a opção Exportar o registro de mudanças de alertas de mudanças de dispositivos do Claroty xDome para o Syslog para exportar eventos de mudança do Claroty xDome.
No menu Mudar a seleção de tipos de eventos, selecione os tipos de eventos de mudança que você quer exportar.
Escolha as condições do dispositivo que você quer exportar: selecione Todos os dispositivos para exportar os dados de eventos de mudança de todos os dispositivos afetados.
Ative a opção Exportar informações de alerta do Claroty xDome para dispositivos afetados usando Syslog para exportar informações de alerta de qualquer tipo, incluindo alertas personalizados.
Em "Tipos de alerta", clique em Selecionar tudo.
Ative a opção Exportar informações de vulnerabilidade do Claroty xDome para dispositivos afetados usando Syslog para exportar tipos de vulnerabilidade do Claroty xDome.
No menu Seleção de tipos de vulnerabilidade, selecione os Tipos de vulnerabilidade que você quer exportar.
Especifique o número do limite do CVSS. Com esse parâmetro, é possível definir um limite de CVSS para enviar uma vulnerabilidade usando o Syslog. Somente vulnerabilidades maiores ou iguais a esse limite serão exportadas. O limite vai voltar para a pontuação base do CVSS V3 por padrão e para a pontuação base do CVSS V2 se a pontuação do CVSS V3 for desconhecida.
Escolha as condições do dispositivo para exportar: selecione Todos os dispositivos para exportar os dados de todos os dispositivos afetados.
Ative a opção Exportar informações de incidentes do servidor Claroty xDome para o Syslog.
Selecione os tipos de servidor de coleta que você quer exportar no menu Seleção de servidor de coleta.
Selecione os incidentes do servidor que você quer exportar no menu Seleção de incidentes do servidor.
Clique em Aplicar para salvar as configurações.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.