Esta página foi traduzida pela API Cloud Translation.

Coletar registros de backup e recuperação do CommVault

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros de backup e recuperação do CommVault para o Google Security Operations usando o Bindplane. O analisador extrai dados de três tipos diferentes de registro (Alerts, Events, AuditTrail) nos registros do Commvault. Em seguida, ele mapeia os campos extraídos para o esquema de UDM do Google SecOps, processando várias tarefas de limpeza e transformação de dados ao longo do caminho para garantir uma representação consistente.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao CommCell da Commvault.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o servidor Syslog do Commvault

Faça login na UI da Web do Commvault CommCell.
Selecione Gerenciar > Sistema.
Clique em Servidor Syslog.
Especifique os seguintes detalhes do servidor syslog:
- Nome do host: insira o endereço IP do agente do Bindplane.
- Porta: insira a porta do BindPlane. Por exemplo, 514.
- Clique no botão Ativar para ativar a configuração do servidor syslog.
- No campo Forward to syslog, selecione Alerts, Audit trails e Events.
Clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
AgentType	observer.application	Mapeado diretamente do campo `AgentType` no registro de eventos.
Alertid	security_result.detection_fields.Alertid.value	Mapeado diretamente do campo `Alertid` no registro de alertas.
Alertname	security_result.detection_fields.Alertname.value	Mapeado diretamente do campo `Alertname` no registro de alertas.
Alertseverity	security_result.severity	Mapeado do campo `Alertseverity` no registro de alertas. Traduzido para os níveis de gravidade do UDM (INFORMATIVO, ALTO, BAIXO, CRÍTICO).
Alerttime	metadata.event_timestamp	Analisado do campo `Alerttime` no registro de alertas e convertido em um carimbo de data/hora.
Tempo de auditoria	metadata.event_timestamp	Analisado do campo `Audittime` no registro de auditoria e convertido em um carimbo de data/hora.
Cliente	principal.hostname, principal.asset.hostname	Mapeado diretamente do campo `Client` no evento, alerta ou registro de auditoria.
CommCell		Esse campo do UDM não vem do registro bruto. Ele é definido como `backupcv` se extraído da descrição do alerta.
Computador		Esse campo do UDM não vem do registro bruto. Ele é definido como `backupcv` se extraído do registro de eventos.
Descrição	security_result.description	Mapeado do campo `Description` no registro de eventos ou do campo `event_description` analisado do campo `Alertdescription` no registro de alertas. Se o campo `Description` contiver `A suspicious file`, ele será substituído por `A suspicious file is Detected`.
Detalhes		Usado para extrair o campo `Client` usando o grok.
duration		Esse campo do UDM não vem do registro bruto. Ele é definido como a duração extraída da descrição do evento.
Eventid	metadata.product_log_id	Mapeado diretamente do campo `Eventid` no registro de eventos.
Eventseverity	security_result.severity	Mapeado do campo `Eventseverity` no registro de eventos. Traduzido para os níveis de gravidade do UDM (INFORMATIVO, ALTO, BAIXO, CRÍTICO).
file_name	security_result.detection_fields.SuspiciousFileName.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
Jobid	principal.process.pid	Mapeado diretamente do campo `Jobid` no registro de evento ou alerta.
media_agent	security_result.detection_fields.MediaAgent.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Extraídos do campo `Alertdescription` no registro de alerta usando o grok.
Occurrencetime	metadata.event_timestamp	Analisado do campo `Occurrencetime` no registro de eventos e convertido em um carimbo de data/hora.
Operação	security_result.detection_fields.Operation.value	Mapeado diretamente do campo `Operation` no registro de auditoria.
Opid	security_result.detection_fields.Opid.value	Mapeado diretamente do campo `Opid` no registro de auditoria.
Program	principal.application	Mapeado diretamente do campo `Program` no registro de eventos.
Nível de gravidade	security_result.severity	Mapeado do campo `Severitylevel` no registro de auditoria. Traduzido para os níveis de gravidade do UDM (INFORMATIVO, ALTO, BAIXO, CRÍTICO).
Tipo	security_result.detection_fields.Type.value	Mapeado diretamente do campo `Type` extraído do campo `Alertdescription` no registro de alertas.
url	network.http.referral_url	Mapeado diretamente do campo `url` extraído do campo `Alertdescription` no registro de alertas.
Nome de usuário	principal.user.userid	Mapeado diretamente do campo `Username` no registro de auditoria. Se o nome de usuário for `Administrator`, o campo `principal.user.user_role` será definido como `ADMINISTRATOR`.
-	metadata.vendor_name	Esse campo do UDM não vem do registro bruto. Ele está definido como `COMMVAULT`.
-	metadata.product_name	Esse campo do UDM não vem do registro bruto. Ele está definido como `COMMVAULT_COMMCELL`.
-	metadata.log_type	Esse campo do UDM não vem do registro bruto. Ele está definido como `COMMVAULT_COMMCELL`.
-	metadata.event_type	Esse campo do UDM não vem do registro bruto. Ele é definido como `STATUS_UPDATE` se o campo `Client` estiver presente. Caso contrário, ele será definido como `GENERIC_EVENT`.

Alterações

24/01/2024

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.