收集 CommVault 备份和恢复日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 CommVault Backup and Recovery 日志注入到 Google Security Operations。解析器从 Commvault 日志中的三种不同日志类型(提醒、事件、AuditTrail)提取数据。然后,它会将提取的字段映射到 Google SecOps UDM 架构,同时处理各种数据清理和转换任务,以确保表示形式一致。

准备工作

  • 确保您拥有 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Commvault CommCell 的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Commvault Syslog 服务器

  1. 登录 Commvault CommCell 网页界面。
  2. 依次选择管理 > 系统
  3. 点击 Syslog 服务器
  4. 指定 Syslog 服务器的以下详细信息:
    • 主机名:输入 Bindplane 代理的 IP 地址。
    • 端口:输入 Bindplane 端口,例如 514
    • 点击启用切换开关以激活 syslog 服务器设置。
    • 转发到 syslog 字段中,选择提醒审核轨迹事件
  5. 点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AgentType observer.application 直接从事件日志中的 AgentType 字段映射。
Alertid security_result.detection_fields.Alertid.value 直接从提醒日志中的 Alertid 字段映射。
Alertname security_result.detection_fields.Alertname.value 直接从提醒日志中的 Alertname 字段映射。
Alertseverity security_result.severity 从提醒日志中的 Alertseverity 字段映射而来。转换为 UDM 严重程度(INFORMATIONAL、HIGH、LOW、CRITICAL)。
提醒时间 metadata.event_timestamp 从提醒日志的 Alerttime 字段解析并转换为时间戳。
Audittime metadata.event_timestamp 从审核日志中的 Audittime 字段解析并转换为时间戳。
客户 principal.hostname、principal.asset.hostname 直接从事件、提醒或审核日志中的 Client 字段映射。
CommCell 此 UDM 字段并非来自原始日志。如果从提醒说明中提取,则设置为 backupcv
计算机 此 UDM 字段并非来自原始日志。如果从事件日志中提取,则设置为 backupcv
说明 security_result.description 从事件日志中的 Description 字段或提醒日志中 Alertdescription 字段的已解析 event_description 字段映射。如果 Description 字段包含 A suspicious file,则会被 A suspicious file is Detected 覆盖。
详细信息 用于使用 grok 提取 Client 字段。
时长 此 UDM 字段并非来自原始日志。它设置为从活动说明中提取的时长。
Eventid metadata.product_log_id 直接从事件日志中的 Eventid 字段映射。
Eventseverity security_result.severity 从事件日志中的 Eventseverity 字段映射而来。转换为 UDM 严重程度(INFORMATIONAL、HIGH、LOW、CRITICAL)。
file_name security_result.detection_fields.SuspiciousFileName.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
Jobid principal.process.pid 直接从事件或提醒日志中的 Jobid 字段映射。
media_agent security_result.detection_fields.MediaAgent.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
no_of_files_created security_result.detection_fields.no_of_files_created.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
no_of_files_deleted security_result.detection_fields.no_of_files_deleted.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
no_of_files_modified security_result.detection_fields.no_of_files_modified.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
no_of_files_renamed security_result.detection_fields.no_of_files_renamed.value 使用 Grok 从提醒日志的 Alertdescription 字段中提取。
发生时间 metadata.event_timestamp 从事件日志中的 Occurrencetime 字段解析并转换为时间戳。
操作 security_result.detection_fields.Operation.value 直接从审核日志中的 Operation 字段映射。
Opid security_result.detection_fields.Opid.value 直接从审核日志中的 Opid 字段映射。
计划 principal.application 直接从事件日志中的 Program 字段映射。
Severitylevel security_result.severity 从审核日志中的 Severitylevel 字段映射而来。转换为 UDM 严重程度(INFORMATIONAL、HIGH、LOW、CRITICAL)。
类型 security_result.detection_fields.Type.value 直接从提醒日志中 Alertdescription 字段提取的 Type 字段映射而来。
网址 network.http.referral_url 直接从提醒日志中 Alertdescription 字段提取的 url 字段映射而来。
用户名 principal.user.userid 直接从审核日志中的 Username 字段映射。如果用户名为 Administrator,则 principal.user.user_role 字段会设置为 ADMINISTRATOR
- metadata.vendor_name 此 UDM 字段并非来自原始日志。设置为 COMMVAULT
- metadata.product_name 此 UDM 字段并非来自原始日志。设置为 COMMVAULT_COMMCELL
- metadata.log_type 此 UDM 字段并非来自原始日志。设置为 COMMVAULT_COMMCELL
- metadata.event_type 此 UDM 字段并非来自原始日志。如果存在 Client 字段,则设置为 STATUS_UPDATE,否则设置为 GENERIC_EVENT

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。