本頁面由 Cloud Translation API 翻譯而成。

收集 CommVault 備份與復原記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 CommVault Backup and Recovery 記錄擷取至 Google Security Operations。剖析器會從 Commvault 記錄中的三種不同記錄類型 (警示、事件、稽核追蹤) 擷取資料。接著，系統會將擷取的欄位對應至 Google SecOps UDM 結構定義，並處理各種資料清理和轉換工作，確保資料呈現方式一致。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您擁有 Commvault CommCell 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Commvault Syslog 伺服器

登入 Commvault CommCell 網頁版 UI。
選取「管理」>「系統」。
按一下「Syslog 伺服器」。
指定 Syslog 伺服器的下列詳細資料：
- 主機名稱：輸入 Bindplane 代理程式的 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 通訊埠，例如 514。
- 按一下「啟用」切換按鈕，啟用系統記錄伺服器設定。
- 在「Forward to syslog」欄位中，選取「Alerts」、「Audit trails」和「Events」。
按一下「提交」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
AgentType	observer.application	直接從事件記錄的「`AgentType`」欄位對應。
Alertid	security_result.detection_fields.Alertid.value	直接從警報記錄中的 `Alertid` 欄位對應。
Alertname	security_result.detection_fields.Alertname.value	直接從警報記錄中的 `Alertname` 欄位對應。
Alertseverity	security_result.severity	從快訊記錄的「`Alertseverity`」欄位對應。已轉換為 UDM 嚴重程度 (INFORMATIONAL、HIGH、LOW、CRITICAL)。
Alerttime	metadata.event_timestamp	從快訊記錄的 `Alerttime` 欄位剖析，並轉換為時間戳記。
Audittime	metadata.event_timestamp	從稽核記錄的 `Audittime` 欄位剖析，並轉換為時間戳記。
客戶	principal.hostname、principal.asset.hostname	直接從事件、快訊或稽核記錄的 `Client` 欄位對應。
CommCell		這個 UDM 欄位並非來自原始記錄。如果從快訊說明中擷取，則會設為 `backupcv`。
電腦		這個 UDM 欄位並非來自原始記錄。如果是從事件記錄檔擷取，則會設為 `backupcv`。
說明	security_result.description	從事件記錄中的 `Description` 欄位，或從警報記錄中 `Alertdescription` 欄位的已剖析 `event_description` 欄位對應。如果 `Description` 欄位包含 `A suspicious file`，系統會以 `A suspicious file is Detected` 覆寫該欄位。
詳細資料		用於使用 grok 擷取 `Client` 欄位。
持續時間		這個 UDM 欄位並非來自原始記錄。系統會根據活動說明擷取的時間長度設定。
Eventid	metadata.product_log_id	直接從事件記錄的「`Eventid`」欄位對應。
Eventseverity	security_result.severity	對應自事件記錄中的 `Eventseverity` 欄位。已轉換為 UDM 嚴重程度 (INFORMATIONAL、HIGH、LOW、CRITICAL)。
file_name	security_result.detection_fields.SuspiciousFileName.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
Jobid	principal.process.pid	直接從事件或快訊記錄中的 `Jobid` 欄位對應。
media_agent	security_result.detection_fields.MediaAgent.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
no_of_files_created	security_result.detection_fields.no_of_files_created.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	使用 grok 從快訊記錄的 `Alertdescription` 欄位擷取。
Occurrencetime	metadata.event_timestamp	從事件記錄中的 `Occurrencetime` 欄位剖析，並轉換為時間戳記。
作業	security_result.detection_fields.Operation.value	直接對應至稽核記錄中的 `Operation` 欄位。
Opid	security_result.detection_fields.Opid.value	直接對應至稽核記錄中的 `Opid` 欄位。
程式	principal.application	直接從事件記錄的「`Program`」欄位對應。
嚴重程度	security_result.severity	對應至稽核記錄中的 `Severitylevel` 欄位。已轉換為 UDM 嚴重程度 (INFORMATIONAL、HIGH、LOW、CRITICAL)。
類型	security_result.detection_fields.Type.value	直接從警報記錄的「`Alertdescription`」欄位擷取「`Type`」欄位，並進行對應。
網址	network.http.referral_url	直接從警報記錄的「`Alertdescription`」欄位擷取「`url`」欄位，並進行對應。
使用者名稱	principal.user.userid	直接從稽核記錄中的 `Username` 欄位對應。如果使用者名稱為 `Administrator`，則 `principal.user.user_role` 欄位會改為設為 `ADMINISTRATOR`。
-	metadata.vendor_name	這個 UDM 欄位並非來自原始記錄。目前設為 `COMMVAULT`。
-	metadata.product_name	這個 UDM 欄位並非來自原始記錄。目前設為 `COMMVAULT_COMMCELL`。
-	metadata.log_type	這個 UDM 欄位並非來自原始記錄。目前設為 `COMMVAULT_COMMCELL`。
-	metadata.event_type	這個 UDM 欄位並非來自原始記錄。如果 `Client` 欄位存在，則設為 `STATUS_UPDATE`，否則設為 `GENERIC_EVENT`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。