收集 Claroty xDome 記錄
本文說明如何使用 Bindplane 代理程式,將 Claroty xDome 記錄檔擷取至 Google Security Operations。剖析器會處理 JSON 格式的記錄,並轉換為統一資料模型 (UDM)。這個外掛程式會清除輸入內容、剖析 JSON 資料、將欄位對應至 UDM、處理特定事件類型和嚴重程度,並使用額外中繼資料和詳細資料擴充 UDM。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd
的 Linux 主機 - 如果透過 Proxy 執行,防火牆通訊埠已開啟
- Claroty xDome 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml
檔案。通常位於 Linux 的/etc/bindplane-agent/
目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano
、vi
或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml
檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CLAROTY_XDOME' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- 視基礎架構需求,替換通訊埠和 IP 位址。
- 將
<customer_id>
替換為實際的客戶 ID。 - 將
/path/to/ingestion-authentication-file.json
更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent
如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Claroty xDome 上設定 Syslog
- 登入 Claroty xDome 網頁版 UI。
- 按一下導覽列中的「設定」分頁標籤。
- 在選單中選取「系統設定」。
- 按一下「整合」部分中的「我的整合」。
- 按一下「新增整合」。
- 從「類別」選單中選取「內部服務」。
- 從「整合」選單中選取「SIEM」和「Syslog」。
- 按一下「新增」。
- 輸入下列設定詳細資料:
- 目的地 IP:輸入 Bindplane 代理程式 IP 位址。
- 傳輸通訊協定:選取「UDP」 (您也可以根據 Bindplane 設定選取 TCP 或 TLS)。
- 如果選取 TLS 安全性通訊協定,請按照下列步驟操作:
- 勾選「檢查主機名稱」選項,驗證伺服器的主機名稱是否與 X. 509 憑證。
- 勾選「使用自訂憑證授權單位」選項,即可使用自訂憑證授權單位 (CA) 取代預設 CA。上傳自訂憑證檔案,或將憑證 (PEM 格式) 插入提供的空間。
- 目的地通訊埠:TCP、TLS 和 UDP 的預設值為 514。(將游標懸停在欄位上,即可使用可點選的箭頭選取其他目的地連接埠)。
- 進階選項:輸入下列設定:
- 訊息格式:選取「JSON」。
- 系統記錄檔通訊協定標準:選取 RFC 5424 或 RFC 3164。
- 整合名稱:輸入整合的名稱 (例如
Google SecOps syslog
)。 - 部署選項:視 xDome 設定而定,選取「從收集伺服器執行」或「從雲端執行」選項。
- 前往「整合工作」參數。
- 開啟「Export Claroty xDome Communication Events Using Syslog」(使用 Syslog 匯出 Claroty xDome 通訊事件) 選項,即可匯出 Claroty xDome 通訊事件。
- 在「選取事件類型」選單中,按一下「全選」。
選擇要匯出的裝置條件:選取「所有裝置」選項,即可匯出所有受影響裝置的通訊事件資料。
開啟「Export Claroty xDome Device Changes Alerts Change Log to Syslog」(將 Claroty xDome 裝置變更快訊變更記錄匯出至 Syslog) 選項,即可匯出 Claroty xDome 變更事件。
在「變更事件類型選取」選單中,選取要匯出的「變更事件類型」。
選擇要匯出的裝置條件:選取「所有裝置」,匯出所有受影響裝置的變更事件資料。
開啟「Export Claroty xDome Alert Information for Affected Devices Using Syslog」(使用系統記錄匯出受影響裝置的 Claroty xDome 快訊資訊) 選項,即可匯出任何快訊類型的快訊資訊,包括自訂快訊。
在快訊類型中,按一下「全選」。
開啟「Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog」(使用系統記錄匯出受影響裝置的 Claroty xDome 安全漏洞資訊) 選項,匯出 Claroty xDome 安全漏洞類型。
在「Vulnerability Types Selection」(選取弱點類型) 選單中,選取要匯出的「Vulnerability types」(弱點類型)。
指定 CVSS 門檻號碼。這個參數可讓您設定 CVSS 門檻,透過 Syslog 傳送安全性弱點。(系統只會匯出大於或等於這個門檻的安全性弱點。如果 CVSS V3 分數不明,門檻會預設還原為 CVSS V3 基礎分數,並還原為 CVSS V2 基礎分數。
選擇要匯出的裝置條件:選取「所有裝置」,匯出所有受影響裝置的資料。
開啟「Export Claroty xDome Server Incidents Information to Syslog」(將 Claroty xDome 伺服器事件資訊匯出至系統記錄) 選項,即可匯出 Claroty xDome 伺服器事件。
從「Collection Server Selection」(集合伺服器選取) 選單中,選取要匯出的集合伺服器類型。
在「伺服器事件選取」選單中,選取要匯出的伺服器事件。
按一下「套用」,儲存設定。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。