Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux de sauvegarde et de récupération CommVault

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux CommVault Backup and Recovery dans Google Security Operations à l'aide de BindPlane. L'analyseur extrait les données de trois types de journaux différents (Alerts, Events, AuditTrail) dans les journaux Commvault. Il mappe ensuite les champs extraits au schéma UDM Google SecOps, en gérant diverses tâches de nettoyage et de transformation des données en cours de route pour assurer une représentation cohérente.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Commvault CommCell.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le serveur Syslog Commvault

Connectez-vous à l'interface utilisateur Web Commvault CommCell.
Sélectionnez Gérer > Système.
Cliquez sur Serveur Syslog.
Spécifiez les informations suivantes sur le serveur syslog :
- Nom d'hôte : saisissez l'adresse IP de l'agent Bindplane.
- Port : saisissez le port Bindplane, par exemple 514.
- Cliquez sur le bouton Activer pour activer le paramètre du serveur syslog.
- Dans le champ Transférer vers syslog, sélectionnez Alertes, Pistes d'audit et Événements.
Cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
AgentType	observer.application	Directement mappé à partir du champ `AgentType` dans le journal des événements.
Alertid	security_result.detection_fields.Alertid.value	Mappé directement à partir du champ `Alertid` dans le journal des alertes.
Nom de l'alerte	security_result.detection_fields.Alertname.value	Mappé directement à partir du champ `Alertname` dans le journal des alertes.
Alertseverity	security_result.severity	Mappé à partir du champ `Alertseverity` du journal des alertes. Traduit en niveaux de gravité UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Alerttime	metadata.event_timestamp	Analysé à partir du champ `Alerttime` du journal des alertes et converti en code temporel.
Audittime	metadata.event_timestamp	Analysé à partir du champ `Audittime` du journal d'audit et converti en code temporel.
Client	principal.hostname, principal.asset.hostname	Directement mappé à partir du champ `Client` dans le journal d'événement, d'alerte ou d'audit.
CommCell		Ce champ UDM ne provient pas du journal brut. Il est défini sur `backupcv` s'il est extrait de la description de l'alerte.
Ordinateur		Ce champ UDM ne provient pas du journal brut. Il est défini sur `backupcv` s'il est extrait du journal des événements.
Description	security_result.description	Mappé à partir du champ `Description` du journal des événements ou du champ `event_description` analysé du champ `Alertdescription` du journal des alertes. Si le champ `Description` contient `A suspicious file`, il est remplacé par `A suspicious file is Detected`.
Détails		Utilisé pour extraire le champ `Client` à l'aide de grok.
duration		Ce champ UDM ne provient pas du journal brut. Elle est définie sur la durée extraite de la description de l'événement.
Eventid	metadata.product_log_id	Directement mappé à partir du champ `Eventid` dans le journal des événements.
Eventseverity	security_result.severity	Mappé à partir du champ `Eventseverity` du journal des événements. Traduit en niveaux de gravité UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
file_name	security_result.detection_fields.SuspiciousFileName.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
Jobid	principal.process.pid	Directement mappé à partir du champ `Jobid` dans le journal des événements ou des alertes.
media_agent	security_result.detection_fields.MediaAgent.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Extrait du champ `Alertdescription` du journal d'alerte à l'aide de grok.
Occurrencetime	metadata.event_timestamp	Analysé à partir du champ `Occurrencetime` du journal des événements et converti en code temporel.
Opération	security_result.detection_fields.Operation.value	Directement mappé à partir du champ `Operation` du journal d'audit.
Opid	security_result.detection_fields.Opid.value	Directement mappé à partir du champ `Opid` du journal d'audit.
Programme	principal.application	Directement mappé à partir du champ `Program` dans le journal des événements.
Niveau de gravité	security_result.severity	Mappé à partir du champ `Severitylevel` du journal d'audit. Traduit en niveaux de gravité UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Type	security_result.detection_fields.Type.value	Mappé directement à partir du champ `Type` extrait du champ `Alertdescription` dans le journal des alertes.
url	network.http.referral_url	Mappé directement à partir du champ `url` extrait du champ `Alertdescription` dans le journal des alertes.
Nom d'utilisateur	principal.user.userid	Directement mappé à partir du champ `Username` du journal d'audit. Si le nom d'utilisateur est `Administrator`, le champ `principal.user.user_role` est défini sur `ADMINISTRATOR`.
-	metadata.vendor_name	Ce champ UDM ne provient pas du journal brut. Elle est définie sur `COMMVAULT`.
-	metadata.product_name	Ce champ UDM ne provient pas du journal brut. Elle est définie sur `COMMVAULT_COMMCELL`.
-	metadata.log_type	Ce champ UDM ne provient pas du journal brut. Elle est définie sur `COMMVAULT_COMMCELL`.
-	metadata.event_type	Ce champ UDM ne provient pas du journal brut. Elle est définie sur `STATUS_UPDATE` si le champ `Client` est présent, sinon elle est définie sur `GENERIC_EVENT`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.