Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de CommVault Backup and Recovery

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir los registros de CommVault Backup and Recovery a Google Security Operations con Bindplane. El analizador extrae datos de tres tipos de registros diferentes (Alertas, Eventos y AuditTrail) dentro de los registros de Commvault. Luego, asigna los campos extraídos al esquema de UDM de SecOps de Google y controla varias tareas de limpieza y transformación de datos en el camino para garantizar una representación coherente.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Commvault CommCell.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el servidor de Syslog de Commvault

Accede a la IU web de Commvault CommCell.
Selecciona Administrar > Sistema.
Haz clic en Servidor de Syslog.
Especifica los siguientes detalles del servidor de syslog:
- Nombre de host: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el puerto de Bindplane, por ejemplo, 514.
- Haz clic en el botón de activación Habilitar para activar la configuración del servidor de Syslog.
- En el campo Reenviar a syslog, selecciona Alertas, Registros de auditoría y Eventos.
Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
AgentType	observer.application	Se asignan directamente desde el campo `AgentType` en el registro de eventos.
Alertid	security_result.detection_fields.Alertid.value	Se asigna directamente desde el campo `Alertid` en el registro de alertas.
Alertname	security_result.detection_fields.Alertname.value	Se asigna directamente desde el campo `Alertname` en el registro de alertas.
Alertseverity	security_result.severity	Se asigna desde el campo `Alertseverity` en el registro de alertas. Se traduce a los niveles de gravedad de la UDM (INFORMATIVO, ALTO, BAJO, CRÍTICO).
Alerttime	metadata.event_timestamp	Se analiza desde el campo `Alerttime` en el registro de alertas y se convierte en una marca de tiempo.
Audittime	metadata.event_timestamp	Se analiza a partir del campo `Audittime` en el registro de auditoría y se convierte en una marca de tiempo.
Cliente	principal.hostname, principal.asset.hostname	Se asignan directamente desde el campo `Client` en el evento, la alerta o el registro de auditoría.
CommCell		Este campo de la AUA no proviene del registro sin procesar. Se establece en `backupcv` si se extrae de la descripción de la alerta.
Computadora		Este campo de la AUA no proviene del registro sin procesar. Se establece en `backupcv` si se extrae del registro de eventos.
Descripción	security_result.description	Se asigna desde el campo `Description` en el registro de eventos o el campo `event_description` analizado del campo `Alertdescription` en el registro de alertas. Si el campo `Description` contiene `A suspicious file`, se reemplaza por `A suspicious file is Detected`.
Detalles		Se usa para extraer el campo `Client` con grok.
duración		Este campo de la AUA no proviene del registro sin procesar. Se establece en la duración extraída de la descripción del evento.
Eventid	metadata.product_log_id	Se asignan directamente desde el campo `Eventid` en el registro de eventos.
Eventseverity	security_result.severity	Se asigna desde el campo `Eventseverity` en el registro de eventos. Se traduce a los niveles de gravedad de la UDM (INFORMATIVO, ALTO, BAJO, CRÍTICO).
file_name	security_result.detection_fields.SuspiciousFileName.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
Jobid	principal.process.pid	Se asignan directamente desde el campo `Jobid` en el evento o el registro de alertas.
media_agent	security_result.detection_fields.MediaAgent.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Se extrae del campo `Alertdescription` en el registro de alertas con grok.
Occurrencetime	metadata.event_timestamp	Se analiza a partir del campo `Occurrencetime` en el registro de eventos y se convierte en una marca de tiempo.
Operación	security_result.detection_fields.Operation.value	Se asigna directamente desde el campo `Operation` en el registro de auditoría.
Opid	security_result.detection_fields.Opid.value	Se asigna directamente desde el campo `Opid` en el registro de auditoría.
Program	principal.application	Se asignan directamente desde el campo `Program` en el registro de eventos.
Severitylevel	security_result.severity	Se asigna desde el campo `Severitylevel` en el registro de auditoría. Se traduce a los niveles de gravedad de la UDM (INFORMATIVO, ALTO, BAJO, CRÍTICO).
Tipo	security_result.detection_fields.Type.value	Se asigna directamente desde el campo `Type` extraído del campo `Alertdescription` en el registro de alertas.
url	network.http.referral_url	Se asigna directamente desde el campo `url` extraído del campo `Alertdescription` en el registro de alertas.
Nombre de usuario	principal.user.userid	Se asigna directamente desde el campo `Username` en el registro de auditoría. Si el nombre de usuario es `Administrator`, el campo `principal.user.user_role` se establece en `ADMINISTRATOR`.
-	metadata.vendor_name	Este campo de la AUA no proviene del registro sin procesar. Se establece en `COMMVAULT`.
-	metadata.product_name	Este campo de la AUA no proviene del registro sin procesar. Se establece en `COMMVAULT_COMMCELL`.
-	metadata.log_type	Este campo de la AUA no proviene del registro sin procesar. Se establece en `COMMVAULT_COMMCELL`.
-	metadata.event_type	Este campo de la AUA no proviene del registro sin procesar. Se establece en `STATUS_UPDATE` si el campo `Client` está presente; de lo contrario, se establece en `GENERIC_EVENT`.

Cambios

24-01-2024

Es un analizador creado recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.