Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log CommVault Backup and Recovery

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log CommVault Backup and Recovery ke Google Security Operations menggunakan Bindplane. Parser mengekstrak data dari tiga jenis log yang berbeda (Alerts, Events, AuditTrail) dalam log Commvault. Kemudian, kolom yang diekstrak dipetakan ke skema UDM Google SecOps, dengan menangani berbagai tugas pembersihan dan transformasi data di sepanjang proses untuk memastikan representasi yang konsisten.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke CommCell Commvault.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Server Syslog Commvault

Login ke UI web Commvault CommCell.
Pilih Kelola > Sistem.
Klik Server Syslog.
Tentukan detail server syslog berikut:
- Nama host: masukkan alamat IP agen Bindplane.
- Port: masukkan port Bindplane; misalnya, 514.
- Klik tombol Aktifkan untuk mengaktifkan setelan server syslog.
- Di kolom Teruskan ke syslog, pilih Peringatan, Jejak audit, dan Peristiwa.
Klik Kirim.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
AgentType	observer.application	Dipetakan langsung dari kolom `AgentType` di log peristiwa.
Alertid	security_result.detection_fields.Alertid.value	Dipetakan langsung dari kolom `Alertid` dalam log pemberitahuan.
Alertname	security_result.detection_fields.Alertname.value	Dipetakan langsung dari kolom `Alertname` dalam log pemberitahuan.
Alertseverity	security_result.severity	Dipetakan dari kolom `Alertseverity` di log pemberitahuan. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
Alerttime	metadata.event_timestamp	Diuraikan dari kolom `Alerttime` dalam log pemberitahuan dan dikonversi menjadi stempel waktu.
Audittime	metadata.event_timestamp	Diuraikan dari kolom `Audittime` di log audit dan dikonversi menjadi stempel waktu.
Klien	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom `Client` dalam peristiwa, notifikasi, atau log audit.
CommCell		Kolom UDM ini tidak berasal dari log mentah. Nilainya ditetapkan ke `backupcv` jika diekstrak dari deskripsi pemberitahuan.
Komputer		Kolom UDM ini tidak berasal dari log mentah. Nilai ini disetel ke `backupcv` jika diekstrak dari log peristiwa.
Deskripsi	security_result.description	Dipetakan dari kolom `Description` di log peristiwa atau kolom `event_description` yang diuraikan dari kolom `Alertdescription` di log pemberitahuan. Jika kolom `Description` berisi `A suspicious file`, kolom tersebut akan ditimpa dengan `A suspicious file is Detected`.
Detail		Digunakan untuk mengekstrak kolom `Client` menggunakan grok.
durasi		Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke durasi yang diekstrak dari deskripsi acara.
Eventid	metadata.product_log_id	Dipetakan langsung dari kolom `Eventid` di log peristiwa.
Eventseverity	security_result.severity	Dipetakan dari kolom `Eventseverity` di log peristiwa. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
file_name	security_result.detection_fields.SuspiciousFileName.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
Jobid	principal.process.pid	Dipetakan langsung dari kolom `Jobid` dalam log peristiwa atau pemberitahuan.
media_agent	security_result.detection_fields.MediaAgent.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
Waktu kejadian	metadata.event_timestamp	Diuraikan dari kolom `Occurrencetime` dalam log peristiwa dan dikonversi menjadi stempel waktu.
Operasi	security_result.detection_fields.Operation.value	Dipetakan langsung dari kolom `Operation` di log audit.
Opid	security_result.detection_fields.Opid.value	Dipetakan langsung dari kolom `Opid` di log audit.
Program	principal.application	Dipetakan langsung dari kolom `Program` di log peristiwa.
Tingkat keparahan	security_result.severity	Dipetakan dari kolom `Severitylevel` di log audit. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
Jenis	security_result.detection_fields.Type.value	Dipetakan langsung dari kolom `Type` yang diekstrak dari kolom `Alertdescription` dalam log pemberitahuan.
url	network.http.referral_url	Dipetakan langsung dari kolom `url` yang diekstrak dari kolom `Alertdescription` dalam log pemberitahuan.
Nama pengguna	principal.user.userid	Dipetakan langsung dari kolom `Username` di log audit. Jika nama penggunanya adalah `Administrator`, kolom `principal.user.user_role` akan disetel ke `ADMINISTRATOR`.
-	metadata.vendor_name	Kolom UDM ini tidak berasal dari log mentah. Nilainya ditetapkan ke `COMMVAULT`.
-	metadata.product_name	Kolom UDM ini tidak berasal dari log mentah. Nilainya ditetapkan ke `COMMVAULT_COMMCELL`.
-	metadata.log_type	Kolom UDM ini tidak berasal dari log mentah. Nilainya ditetapkan ke `COMMVAULT_COMMCELL`.
-	metadata.event_type	Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `STATUS_UPDATE` jika kolom `Client` ada, atau ditetapkan ke `GENERIC_EVENT`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.