Esta página foi traduzida pela API Cloud Translation.

Recolha registos de cópias de segurança e recuperação do CommVault

Compatível com:

Google secops SIEM

Este documento explica como carregar registos de cópias de segurança e recuperação do CommVault para o Google Security Operations através do Bindplane. O analisador extrai dados de três tipos de registos diferentes (Alerts, Events e AuditTrail) nos registos do Commvault. Em seguida, mapeia os campos extraídos para o esquema UDM do Google SecOps, processando várias tarefas de limpeza e transformação de dados ao longo do processo para garantir uma representação consistente.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado ao Commvault CommCell.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o servidor Syslog do Commvault

Inicie sessão na IU da Web do Commvault CommCell.
Selecione Gerir > Sistema.
Clique em Servidor Syslog.
Especifique os seguintes detalhes do servidor Syslog:
- Nome do anfitrião: introduza o endereço IP do agente Bindplane.
- Porta: introduza a porta do Bindplane; por exemplo, 514.
- Clique no botão de ativar/desativar Ativar para ativar a definição do servidor Syslog.
- No campo Encaminhar para syslog, selecione Alertas, Trilhos de auditoria e Eventos.
Clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
AgentType	observer.application	Mapeado diretamente a partir do campo `AgentType` no registo de eventos.
Alertid	security_result.detection_fields.Alertid.value	Mapeado diretamente a partir do campo `Alertid` no registo de alertas.
Alertname	security_result.detection_fields.Alertname.value	Mapeado diretamente a partir do campo `Alertname` no registo de alertas.
Alertseverity	security_result.severity	Mapeado a partir do campo `Alertseverity` no registo de alertas. Traduzido para níveis de gravidade do UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Alerttime	metadata.event_timestamp	Analisado a partir do campo `Alerttime` no registo de alertas e convertido numa data/hora.
Audittime	metadata.event_timestamp	Analisado a partir do campo `Audittime` no registo de auditoria e convertido numa data/hora.
Cliente	principal.hostname, principal.asset.hostname	Mapeado diretamente a partir do campo `Client` no evento, no alerta ou no registo de auditoria.
CommCell		Este campo UDM não provém do registo não processado. É definido como `backupcv` se for extraído da descrição do alerta.
Computador		Este campo UDM não provém do registo não processado. É definido como `backupcv` se for extraído do registo de eventos.
Descrição	security_result.description	Mapeado a partir do campo `Description` no registo de eventos ou do campo `event_description` analisado a partir do campo `Alertdescription` no registo de alertas. Se o campo `Description` contiver `A suspicious file`, é substituído por `A suspicious file is Detected`.
Detalhes		Usado para extrair o campo `Client` através do grok.
duração		Este campo UDM não provém do registo não processado. Está definido como a duração extraída da descrição do evento.
Eventid	metadata.product_log_id	Mapeado diretamente a partir do campo `Eventid` no registo de eventos.
Eventseverity	security_result.severity	Mapeado a partir do campo `Eventseverity` no registo de eventos. Traduzido para níveis de gravidade do UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
file_name	security_result.detection_fields.SuspiciousFileName.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
Jobid	principal.process.pid	Mapeado diretamente a partir do campo `Jobid` no registo de eventos ou alertas.
media_agent	security_result.detection_fields.MediaAgent.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Extraído do campo `Alertdescription` no registo de alertas através do grok.
Occurrencetime	metadata.event_timestamp	Analisado a partir do campo `Occurrencetime` no registo de eventos e convertido numa indicação de tempo.
Operação	security_result.detection_fields.Operation.value	Mapeado diretamente a partir do campo `Operation` no registo de auditoria.
Opid	security_result.detection_fields.Opid.value	Mapeado diretamente a partir do campo `Opid` no registo de auditoria.
Programa	principal.application	Mapeado diretamente a partir do campo `Program` no registo de eventos.
Severitylevel	security_result.severity	Mapeado a partir do campo `Severitylevel` no registo de auditoria. Traduzido para níveis de gravidade do UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Tipo	security_result.detection_fields.Type.value	Mapeado diretamente a partir do campo `Type` extraído do campo `Alertdescription` no registo de alertas.
url	network.http.referral_url	Mapeado diretamente a partir do campo `url` extraído do campo `Alertdescription` no registo de alertas.
Nome de utilizador	principal.user.userid	Mapeado diretamente a partir do campo `Username` no registo de auditoria. Se o nome de utilizador for `Administrator`, o campo `principal.user.user_role` é definido como `ADMINISTRATOR`.
-	metadata.vendor_name	Este campo UDM não provém do registo não processado. Está definido como `COMMVAULT`.
-	metadata.product_name	Este campo UDM não provém do registo não processado. Está definido como `COMMVAULT_COMMCELL`.
-	metadata.log_type	Este campo UDM não provém do registo não processado. Está definido como `COMMVAULT_COMMCELL`.
-	metadata.event_type	Este campo UDM não provém do registo não processado. É definido como `STATUS_UPDATE` se o campo `Client` estiver presente. Caso contrário, é definido como `GENERIC_EVENT`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.