Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di backup e ripristino di CommVault

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di CommVault Backup and Recovery in Google Security Operations utilizzando Bindplane. Il parser estrae i dati da tre diversi tipi di log (Avvisi, Eventi, AuditTrail) all'interno dei log di Commvault. Quindi, mappa i campi estratti allo schema UDM di Google SecOps, gestendo varie attività di pulizia e trasformazione dei dati lungo il percorso per garantire una rappresentazione coerente.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a Commvault CommCell.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare il server Syslog di Commvault

Accedi all'UI web di Commvault CommCell.
Seleziona Gestisci > Sistema.
Fai clic su Server Syslog.
Specifica i seguenti dettagli del server syslog:
- Nome host: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci la porta Bindplane, ad esempio 514.
- Fai clic sul pulsante di attivazione/disattivazione Attiva per attivare l'impostazione del server syslog.
- Nel campo Inoltra a syslog, seleziona Avvisi, Audit trail ed Eventi.
Fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
AgentType	observer.application	Mappato direttamente dal campo `AgentType` nel log eventi.
Alertid	security_result.detection_fields.Alertid.value	Mappato direttamente dal campo `Alertid` nel log degli avvisi.
Alertname	security_result.detection_fields.Alertname.value	Mappato direttamente dal campo `Alertname` nel log degli avvisi.
Alertseverity	security_result.severity	Mappato dal campo `Alertseverity` nel log degli avvisi. Tradotti nei livelli di gravità UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Alerttime	metadata.event_timestamp	Analizzato dal campo `Alerttime` nel log degli avvisi e convertito in un timestamp.
Audittime	metadata.event_timestamp	Analizzato dal campo `Audittime` nel log di controllo e convertito in un timestamp.
Client	principal.hostname, principal.asset.hostname	Mappato direttamente dal campo `Client` nell'evento, nell'avviso o nel log di controllo.
CommCell		Questo campo UDM non proviene dal log non elaborato. È impostato su `backupcv` se estratto dalla descrizione dell'avviso.
Computer		Questo campo UDM non proviene dal log non elaborato. È impostato su `backupcv` se estratto dal log eventi.
Descrizione	security_result.description	Mappato dal campo `Description` nel log eventi o dal campo `event_description` analizzato dal campo `Alertdescription` nel log avvisi. Se il campo `Description` contiene `A suspicious file`, viene sovrascritto con `A suspicious file is Detected`.
Dettagli		Utilizzato per estrarre il campo `Client` utilizzando grok.
duration		Questo campo UDM non proviene dal log non elaborato. È impostata sulla durata estratta dalla descrizione dell'evento.
Eventid	metadata.product_log_id	Mappato direttamente dal campo `Eventid` nel log eventi.
Eventseverity	security_result.severity	Mappato dal campo `Eventseverity` nel log eventi. Tradotti nei livelli di gravità UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
file_name	security_result.detection_fields.SuspiciousFileName.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
Jobid	principal.process.pid	Mappato direttamente dal campo `Jobid` nel log di eventi o avvisi.
media_agent	security_result.detection_fields.MediaAgent.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Estratto dal campo `Alertdescription` nel log degli avvisi utilizzando grok.
Occurrencetime	metadata.event_timestamp	Analizzato dal campo `Occurrencetime` nel log eventi e convertito in un timestamp.
Operazione	security_result.detection_fields.Operation.value	Mappato direttamente dal campo `Operation` nell'audit log.
Opid	security_result.detection_fields.Opid.value	Mappato direttamente dal campo `Opid` nell'audit log.
Programma	principal.application	Mappato direttamente dal campo `Program` nel log eventi.
Severitylevel	security_result.severity	Mappato dal campo `Severitylevel` nell'audit log. Tradotti nei livelli di gravità UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Tipo	security_result.detection_fields.Type.value	Mappato direttamente dal campo `Type` estratto dal campo `Alertdescription` nel log degli avvisi.
url	network.http.referral_url	Mappato direttamente dal campo `url` estratto dal campo `Alertdescription` nel log degli avvisi.
Nome utente	principal.user.userid	Mappato direttamente dal campo `Username` nell'audit log. Se il nome utente è `Administrator`, il campo `principal.user.user_role` viene impostato su `ADMINISTRATOR`.
-	metadata.vendor_name	Questo campo UDM non proviene dal log non elaborato. È impostato su `COMMVAULT`.
-	metadata.product_name	Questo campo UDM non proviene dal log non elaborato. È impostato su `COMMVAULT_COMMCELL`.
-	metadata.log_type	Questo campo UDM non proviene dal log non elaborato. È impostato su `COMMVAULT_COMMCELL`.
-	metadata.event_type	Questo campo UDM non proviene dal log non elaborato. È impostato su `STATUS_UPDATE` se è presente il campo `Client`, altrimenti è impostato su `GENERIC_EVENT`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.