收集 CommVault Backup and Recovery 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 CommVault 备份和恢复日志注入到 Google 安全运营中心。解析器会从 Commvault 日志中的三种不同日志类型(提醒、事件、审核轨迹)中提取数据。然后,它会将提取的字段映射到 Google SecOps UDM 架构,并在此过程中处理各种数据清理和转换任务,以确保一致的表示方式。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了带有 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 Commvault CommCell 的特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分中,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Commvault Syslog 服务器

  1. 登录 Commvault CommCell 网页界面。
  2. 依次选择管理 > 系统
  3. 点击 Syslog 服务器
  4. 指定 Syslog 服务器的以下详细信息:
    • 主机名:输入 Bindplane 代理的 IP 地址。
    • 端口:输入 Bindplane 端口;例如 514
    • 点击启用切换开关以启用 syslog 服务器设置。
    • 转发到 syslog 字段中,选择提醒审核轨迹事件
  5. 点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AgentType observer.application 直接从事件日志中的 AgentType 字段映射而来。
Alertid security_result.detection_fields.Alertid.value 直接从提醒日志中的 Alertid 字段映射。
Alertname security_result.detection_fields.Alertname.value 直接从提醒日志中的 Alertname 字段映射。
Alertseverity security_result.severity 从提醒日志中的 Alertseverity 字段映射而来。已转换为 UDM 严重级别(信息、高、低、严重)。
Alerttime metadata.event_timestamp 从提醒日志中的 Alerttime 字段解析并转换为时间戳。
Audittime metadata.event_timestamp 从审核日志中的 Audittime 字段解析并转换为时间戳。
客户 principal.hostname、principal.asset.hostname 直接从事件、提醒或审核日志中的 Client 字段映射而来。
CommCell 此 UDM 字段并非来自原始日志。如果从提醒说明中提取,则将其设置为 backupcv
计算机 此 UDM 字段并非来自原始日志。如果从事件日志中提取,则将其设为 backupcv
说明 security_result.description 从事件日志中的 Description 字段或提醒日志中的 Alertdescription 字段解析的 event_description 字段映射而来。如果 Description 字段包含 A suspicious file,则会被 A suspicious file is Detected 覆盖。
详细信息 用于使用 grok 提取 Client 字段。
时长 此 UDM 字段并非来自原始日志。该值会设为从事件说明中提取的时长。
Eventid metadata.product_log_id 直接从事件日志中的 Eventid 字段映射而来。
Eventseverity security_result.severity 从事件日志中的 Eventseverity 字段映射而来。已转换为 UDM 严重级别(信息、高、低、严重)。
file_name security_result.detection_fields.SuspiciousFileName.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
Jobid principal.process.pid 直接从事件或提醒日志中的 Jobid 字段映射而来。
media_agent security_result.detection_fields.MediaAgent.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
no_of_files_created security_result.detection_fields.no_of_files_created.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
no_of_files_deleted security_result.detection_fields.no_of_files_deleted.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
no_of_files_modified security_result.detection_fields.no_of_files_modified.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
no_of_files_renamed security_result.detection_fields.no_of_files_renamed.value 使用 grok 从提醒日志中的 Alertdescription 字段中提取。
Occurrencetime metadata.event_timestamp 从事件日志中的 Occurrencetime 字段解析并转换为时间戳。
操作 security_result.detection_fields.Operation.value 直接从审核日志中的 Operation 字段映射而来。
Opid security_result.detection_fields.Opid.value 直接从审核日志中的 Opid 字段映射而来。
计划 principal.application 直接从事件日志中的 Program 字段映射而来。
Severitylevel security_result.severity 从审核日志中的 Severitylevel 字段映射而来。已转换为 UDM 严重级别(信息、高、低、严重)。
类型 security_result.detection_fields.Type.value 直接从警报日志中的 Alertdescription 字段提取的 Type 字段映射而来。
网址 network.http.referral_url 直接从警报日志中的 Alertdescription 字段提取的 url 字段映射而来。
用户名 principal.user.userid 直接从审核日志中的 Username 字段映射而来。如果用户名为 Administrator,则 principal.user.user_role 字段会改为设置为 ADMINISTRATOR
- metadata.vendor_name 此 UDM 字段并非来自原始日志。它已设置为 COMMVAULT
- metadata.product_name 此 UDM 字段并非来自原始日志。它已设置为 COMMVAULT_COMMCELL
- metadata.log_type 此 UDM 字段并非来自原始日志。它已设置为 COMMVAULT_COMMCELL
- metadata.event_type 此 UDM 字段并非来自原始日志。如果存在 Client 字段,则将其设置为 STATUS_UPDATE;否则将其设置为 GENERIC_EVENT

变化

2024-01-24

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。