Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Claroty xDome

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros do Claroty xDome para as operações de segurança do Google usando o Bindplane.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Claroty xDome.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CLAROTY_XDOME
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Claroty xDome

Faça login na interface da Web do Claroty xDome.
Clique na guia Configurações na barra de navegação.
Selecione Configurações do sistema no menu suspenso.
Clique em Minhas integrações na seção Integrações.
Clique em + Adicionar integração.
Selecione Serviços internos no menu Categoria.
Selecione SIEM e Syslog no menu Integration.
Clique em Adicionar.
Digite os seguintes detalhes de configuração:
1. IP de destino: insira o endereço IP do agente do Bindplane.
2. Protocolo de transporte: selecione UDP. Também é possível selecionar TCP ou TLS, dependendo da configuração do Bindplane.
3. Se você selecionar o protocolo de segurança TLS, faça o seguinte:
  - Selecione Verificar nomes de host para verificar se o nome de host do servidor corresponde a qualquer um dos nomes presentes no X. 509.
  - Selecione Usar autoridade certificadora personalizada para usar uma autoridade certificadora (AC) personalizada em vez da AC padrão. Faça upload do arquivo de certificado personalizado ou insira o certificado (no formato PEM) no espaço fornecido.
4. Porta de destino: o valor padrão para TCP, TLS e UDP é 514. Mantenha o ponteiro sobre o campo para usar as setas clicáveis e selecionar uma porta de destino diferente.
5. Opções avançadas: insira as configurações das opções avançadas:
  - Formato da mensagem: selecione CEF. Outras opções incluem JSON ou formato LEEF.
  - Padrão de protocolo syslog: selecione RFC 5424 ou RFC 3164.
6. Nome da integração: insira um nome significativo para a integração, por exemplo, Google SecOps syslog.
7. Opções de implantação: selecione a opção Run from the collection server ou Run from the cloud, dependendo da configuração do xDome.
Acesse os parâmetros Tarefas de integração.
Ative a opção Exportar eventos de comunicação do Claroty xDome usando o Syslog para ativar a exportação de eventos de comunicação do Claroty xDome.
No menu Seleção de tipos de evento, clique em Selecionar tudo.
Escolha as condições do dispositivo a serem exportadas: selecione Todos os dispositivos para exportar os dados do evento de comunicação de todos os dispositivos afetados.

Observação: para receber eventos de atividade de OT pelo Syslog, é necessário criar e ativar alertas de atividade de OT para os tipos de evento relevantes. Isso ocorre porque o xDome só envia eventos relacionados a alertas para atividade de OT.
Ative a opção Exportar alertas de mudanças de dispositivo do Claroty xDome para Syslog para exportar eventos de mudança do Claroty xDome.
No menu Seleção de tipos de evento de alteração, selecione os tipos de evento de alteração que você quer exportar.
Escolha as condições do dispositivo que você quer exportar: selecione Todos os dispositivos para exportar os dados do evento de mudança de todos os dispositivos afetados.
Ative a opção Exportar informações de alerta do Claroty xDome para dispositivos afetados usando o Syslog para exportar informações de alerta de qualquer tipo, incluindo alertas personalizados.
Em "Tipos de alerta", clique em Selecionar tudo.
Ative a opção Export Claroty xDome Vulnerability Information for Affected Devices Using Syslog para exportar os tipos de vulnerabilidade do Claroty xDome.
No menu Seleção de tipos de vulnerabilidade, selecione os tipos de vulnerabilidade que você quer exportar.
Especifique o número do Limite CVSS.
- Esse parâmetro permite definir um limite do CVSS para enviar uma vulnerabilidade usando o Syslog.
- Somente as vulnerabilidades maiores ou iguais a esse limite são exportadas.
- O limite voltará para a pontuação base do CVSS V3 por padrão e para a pontuação base do CVSS V2 se a pontuação do CVSS V3 for desconhecida.
Escolher as condições do dispositivo para exportação: selecione Todos os dispositivos para exportar os dados de todos os dispositivos afetados.
Ative a opção Exportar informações de incidentes do servidor Claroty xDome para o Syslog para exportar incidentes do servidor Claroty xDome.
Selecione os tipos de servidor de coletor que você quer exportar no menu Seleção de servidor de coletor.
Selecione os incidentes do servidor que você quer exportar no menu Seleção de incidentes do servidor.
Clique em Aplicar para salvar as configurações.

Alterações

2025-01-29

Parser recém-criado

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.