Diese Seite wurde von der Cloud Translation API übersetzt.

CommVault-Sicherungs- und Wiederherstellungsprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit BindPlane CommVault-Sicherungs- und Wiederherstellungsprotokolle in Google Security Operations aufnehmen. Der Parser extrahiert Daten aus drei verschiedenen Protokolltypen (Benachrichtigungen, Ereignisse, Audit-Trail) in Commvault-Protokollen. Anschließend werden die extrahierten Felder dem Google SecOps-UDM-Schema zugeordnet. Dabei werden verschiedene Datenbereinigungs- und Transformationsaufgaben ausgeführt, um eine konsistente Darstellung zu gewährleisten.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für Commvault CommCell.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Commvault-Syslog-Server konfigurieren

Melden Sie sich in der Commvault CommCell-Web-UI an.
Wählen Sie Verwalten > System aus.
Klicken Sie auf Syslog-Server.
Geben Sie die folgenden Details des syslog-Servers an:
- Hostname: Geben Sie die IP-Adresse des BindPlane-Agents ein.
- Port: Geben Sie den BindPlane-Port ein, z. B. 514.
- Klicken Sie auf die Ein-/Aus-Schaltfläche Aktivieren, um die syslog-Servereinstellung zu aktivieren.
- Wählen Sie im Feld An Syslog weiterleiten die Optionen Benachrichtigungen, Audit-Trails und Ereignisse aus.
Klicken Sie auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
AgentType	observer.application	Wird direkt aus dem Feld `AgentType` im Ereignisprotokoll zugeordnet.
Alertid	security_result.detection_fields.Alertid.value	Wird direkt aus dem Feld `Alertid` im Benachrichtigungsprotokoll zugeordnet.
Name der Benachrichtigung	security_result.detection_fields.Alertname.value	Wird direkt aus dem Feld `Alertname` im Benachrichtigungsprotokoll zugeordnet.
Alertseverity	security_result.severity	Wird aus dem Feld `Alertseverity` im Benachrichtigungsprotokoll zugeordnet. In UDM-Schweregrade übersetzt (INFORMATIONSWEISEND, HOCH, NIEDRIG, KRITISCH).
Benachrichtigungszeit	metadata.event_timestamp	Wird aus dem Feld `Alerttime` im Benachrichtigungsprotokoll geparst und in einen Zeitstempel umgewandelt.
Audittime	metadata.event_timestamp	Wird aus dem Feld `Audittime` im Audit-Log geparst und in einen Zeitstempel umgewandelt.
Kunde	principal.hostname, principal.asset.hostname	Direkt aus dem Feld `Client` im Ereignis-, Benachrichtigungs- oder Audit-Log zugeordnet.
CommCell		Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Wird aus der Benachrichtigungsbeschreibung extrahiert, wird der Wert auf `backupcv` gesetzt.
Computer		Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Wenn der Wert aus dem Ereignisprotokoll extrahiert wird, wird er auf `backupcv` festgelegt.
Beschreibung	security_result.description	Wird entweder aus dem Feld `Description` im Ereignisprotokoll oder aus dem geparsten Feld `event_description` aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll zugeordnet. Wenn das Feld `Description` `A suspicious file` enthält, wird es mit `A suspicious file is Detected` überschrieben.
Details		Wird verwendet, um das Feld `Client` mit Grok zu extrahieren.
Dauer		Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Sie entspricht der aus der Ereignisbeschreibung extrahierten Dauer.
Eventid	metadata.product_log_id	Wird direkt aus dem Feld `Eventid` im Ereignisprotokoll zugeordnet.
Ereignisschwere	security_result.severity	Wird aus dem Feld `Eventseverity` im Ereignisprotokoll zugeordnet. In UDM-Schweregrade übersetzt (INFORMATIONSWEISEND, HOCH, NIEDRIG, KRITISCH).
file_name	security_result.detection_fields.SuspiciousFileName.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
Jobid	principal.process.pid	Wird direkt aus dem Feld `Jobid` im Ereignis- oder Benachrichtigungsprotokoll zugeordnet.
media_agent	security_result.detection_fields.MediaAgent.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Mit Grok aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert.
Occurrencetime	metadata.event_timestamp	Wird aus dem Feld `Occurrencetime` im Ereignisprotokoll geparst und in einen Zeitstempel umgewandelt.
Vorgang	security_result.detection_fields.Operation.value	Wird direkt aus dem Feld `Operation` im Audit-Log zugeordnet.
Opid	security_result.detection_fields.Opid.value	Wird direkt aus dem Feld `Opid` im Audit-Log zugeordnet.
Programm	principal.application	Wird direkt aus dem Feld `Program` im Ereignisprotokoll zugeordnet.
Schweregrad	security_result.severity	Wird aus dem Feld `Severitylevel` im Audit-Log zugeordnet. In UDM-Schweregrade übersetzt (INFORMATIONSWEISEND, HOCH, NIEDRIG, KRITISCH).
Typ	security_result.detection_fields.Type.value	Direkt aus dem Feld `Type` zugeordnet, das aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert wurde.
URL	network.http.referral_url	Direkt aus dem Feld `url` zugeordnet, das aus dem Feld `Alertdescription` im Benachrichtigungsprotokoll extrahiert wurde.
Nutzername	principal.user.userid	Wird direkt aus dem Feld `Username` im Audit-Log zugeordnet. Wenn der Nutzername `Administrator` lautet, wird das Feld `principal.user.user_role` stattdessen auf `ADMINISTRATOR` gesetzt.
-	metadata.vendor_name	Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Es ist auf `COMMVAULT` festgelegt.
-	metadata.product_name	Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Es ist auf `COMMVAULT_COMMCELL` festgelegt.
-	metadata.log_type	Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Es ist auf `COMMVAULT_COMMCELL` festgelegt.
-	metadata.event_type	Dieses UDM-Feld stammt nicht aus dem Rohprotokoll. Es wird auf `STATUS_UPDATE` gesetzt, wenn das Feld `Client` vorhanden ist, andernfalls auf `GENERIC_EVENT`.

Änderungen

24.01.2024

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten