Collecter les journaux Xcitium Endpoint Security
Ce document explique comment ingérer les journaux Xcitium Endpoint Security (anciennement Comodo) dans Google Security Operations à l'aide de l'agent Bindplane.
Xcitium Endpoint Security est une plate-forme de protection des points de terminaison qui combine des technologies antivirus, de pare-feu, de prévention des intrusions et de confinement pour protéger les points de terminaison contre les menaces connues et inconnues. Elle utilise une approche de refus par défaut avec confinement automatique pour isoler les fichiers et processus non reconnus, les empêchant ainsi de causer des dommages pendant leur analyse.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Connectivité réseau entre l'agent Bindplane et les points de terminaison gérés par Xcitium
- Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à la console Xcitium Endpoint Manager (anciennement Comodo ITSM / ITarian)
- Rôle d'administrateur dans Xcitium Endpoint Manager pour modifier les profils de configuration et les paramètres du portail
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
- Téléchargez le fichier d'authentification d'ingestion.
- Enregistrez le fichier de manière sécurisée sur le système où l'agent Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à SIEM Settings > Profile (Paramètres SIEM > Profil).
- Copiez et enregistrez l'ID client de la section Organization Details (Informations sur l'organisation).
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation sous Windows
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collectorL'état du service doit être RUNNING (En cours d'exécution).
Installation sous Linux
- Ouvrez un terminal avec des droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collectorL'état du service doit être active (running) (Actif (en cours d'exécution)).
Ressources d'installation supplémentaires
Pour obtenir des options d'installation supplémentaires et résoudre les problèmes, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifier le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/comodo_av: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COMODO_AV raw_log_field: body ingestion_labels: service: pipelines: logs/comodo_to_chronicle: receivers: - udplog exporters: - chronicle/comodo_av
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
listen_address: adresse IP et port à écouter. Utilisez0.0.0.0pour écouter sur toutes les interfaces. Le port Syslog par défaut est514.
Configuration de l'exportateur :
creds_file_path: chemin d'accès complet au fichier d'authentification d'ingestion.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID client de la console Google SecOps.endpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe:
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
Enregistrer le fichier de configuration
Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur File > Save.
- Linux : appuyez sur
Redémarrer l'agent Bindplane pour appliquer les modifications
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane sous Windows, choisissez l'une des options suivantes :
Invite de commandes ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Recherchez observIQ OpenTelemetry Collector.
- Faites un clic droit et sélectionnez Restart (Redémarrer).
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Appuyez sur
Configurer le transfert Syslog Xcitium Endpoint Security
Xcitium Endpoint Manager fournit deux niveaux de transfert Syslog. Configurez les deux pour garantir une couverture complète des journaux.
Configurer le transfert Syslog au niveau du point de terminaison (Xcitium Client - Security logs)
- Connectez-vous à la console Xcitium Endpoint Manager.
- Accédez à Configuration Templates > Profiles (Modèles de configuration > Profils).
- Cliquez sur le profil Windows que vous souhaitez modifier ou créez-en un.
- Cliquez sur Add Profile Section > Logging Settings (Ajouter une section de profil > Paramètres de journalisation).
- Dans la section Xcitium Client - Security, activez Write to Syslog Server (Écrire sur le serveur Syslog).
- Fournissez les informations de configuration suivantes :
- Host (Hôte) : saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane.
- Port : saisissez le numéro de port configuré dans l'agent Bindplane (par exemple,
514).
- Vous pouvez également activer Write to Log File (CEF Format) (Écrire dans un fichier journal (format CEF)) pour conserver une copie locale des journaux au format CEF (Common Event Format).
- Dans la section Communication Client, activez Write to Syslog Server (Écrire sur le serveur Syslog).
- Fournissez les informations de configuration suivantes :
- Host (Hôte) : saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane.
- Port : saisissez le numéro de port configuré dans l'agent Bindplane (par exemple,
514).
- Sélectionnez les types d'événements pour lesquels les journaux sont collectés :
- Journaux de surveillance
- Journaux de script
- Journaux de correctifs d'OS
- Journaux de mise à jour d'applications tierces
- Journaux d'installation d'applications
- Journaux de désinstallation
- Journaux de communication de l'agent EDR (Event Detection and Response)
- Journaux de communication Xcitium Client - Security (XCS)
- Journaux de communication de contrôle à distance
- Journaux opérationnels
- Cliquez sur Save (Enregistrer).
Configurer le transfert Syslog au niveau du portail (journaux d'audit)
- Connectez-vous à la console Xcitium Endpoint Manager.
- Accédez à Settings > Portal Set-Up > Logging Settings (Paramètres > Configuration du portail > Paramètres de journalisation).
- Cliquez sur Edit (Modifier).
- Activez Write to syslog server (Écrire sur le serveur Syslog).
- Fournissez les informations de configuration suivantes :
- Host (Hôte) : saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane.
- Port : saisissez le numéro de port configuré dans l'agent Bindplane (par exemple,
514).
Cliquez sur Save (Enregistrer).
Pour en savoir plus, consultez la documentation sur les paramètres de journalisation de Xcitium Endpoint Manager et Configurer les paramètres des journaux d'audit.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
event_type |
metadata.event_type |
Renommé/mappé |
data5 |
principal.application |
Mappé directement |
data3 |
principal.asset.platform_software.platform_version |
Mappé directement |
dvchost |
principal.hostname |
Mappé directement |
dvc |
principal.ip |
Fusionné |
data4 |
principal.user.product_object_id |
Mappé directement |
filePath |
target.file.full_path |
Mappé directement |
fname |
target.process.parent_process.file.full_path |
Mappé directement |
suser |
target.user.userid |
Mappé directement |
| N/A | metadata.product_name |
Constante : COMODO_AV |
| N/A | metadata.vendor_name |
Constante : COMODO |
| N/A | principal.ip |
Constante : dvc |
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.