Diese Seite wurde von der Cloud Translation API übersetzt.

Commvault-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Commvault-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Daten aus COMMVAULT-Logs und kategorisiert sie als Benachrichtigungen, Ereignisse oder Audit-Trails. Anschließend werden die extrahierten Felder mithilfe von Schlüssel/Wert-Parsing, Zeitstempel-Extraktion und Feldzuordnung normalisiert und in einem einheitlichen Datenmodell (Unified Data Model, UDM) strukturiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf Commvault Cloud

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Commvault Cloud konfigurieren

Melden Sie sich in der Commvault Management Console an.
Gehen Sie zu Verwalten > System.
Klicken Sie auf die Kachel für den SIEM-Connector.
Klicken Sie auf Connector hinzufügen.
Geben Sie auf dem Tab Allgemein die folgenden Details ein:
- Connector-Name: Geben Sie einen Namen für den Connector ein.
- Anschlusstyp: Wählen Sie Syslog aus.
- Streamingdaten: Wählen Sie die Daten aus, die Sie exportieren möchten.
Klicken Sie auf Weiter.
Klicken Sie auf dem Tab Connector Definition (Connector-Definition) auf Add syslog server (Syslog-Server hinzufügen).
Geben Sie die folgenden Konfigurationsdetails an:
- Syslog-Server: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Portnummer: Geben Sie die Portnummer des Bindplane-Agents ein.
Klicken Sie auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
AgentType	event.idm.read_only_udm.observer.application	Wert aus dem Feld `AgentType` in der Log-Nachricht.
Alertid	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `Alertid` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `alert_id` zugeordnet.
Name der Benachrichtigung	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `Alertname` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `alert_name` zugeordnet.
Schweregrad der Benachrichtigung	event.idm.read_only_udm.security_result.severity	Dieses Feld wird verwendet, um das Feld `security_result.severity` basierend auf seinem Wert zu füllen.
Benachrichtigungszeit	event.idm.read_only_udm.metadata.event_timestamp	Der Wert wird aus dem Feld `Alerttime` in der Log-Nachricht übernommen und in einen Zeitstempel konvertiert.
BackupLevel	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `BackupLevel` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `backup_level` zugeordnet.
BackupSet	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `BackupSet` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `backup_set` zugeordnet.
Kunde	event.idm.read_only_udm.principal.hostname	Wert aus dem Feld `Client` in der Log-Nachricht.
CommCell	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `CommCell` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `comcell_field` zugeordnet.
Computer	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `Computer` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `computer_field` zugeordnet.
Beschreibung	event.idm.read_only_udm.metadata.description	Wert aus dem Feld `Description` in der Log-Nachricht nach der Verarbeitung und Bereinigung.
DetectedCriteria	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `DetectedCriteria` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `detected_criteria` zugeordnet.
DetectedTime	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `DetectedTime` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `detected_time` zugeordnet.
Details	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `Details` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `details_field` zugeordnet.
Eventid	event.idm.read_only_udm.metadata.product_log_id	Wert aus dem Feld `Eventid` in der Log-Nachricht.
Eventseverity	event.idm.read_only_udm.security_result.severity	Dieses Feld wird verwendet, um das Feld `security_result.severity` basierend auf seinem Wert zu füllen.
Fehler	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `Failure` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `failure_filed` zugeordnet.
Instanz	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `Instance` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `instance_field` zugeordnet.
Jobid	event.idm.read_only_udm.principal.process.pid	Wert aus dem Feld `Jobid` in der Log-Nachricht.
MonitoringCriteria	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `MonitoringCriteria` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `monitoring_criteria` zugeordnet.
Occurencetime	event.idm.read_only_udm.metadata.event_timestamp	Der Wert wird aus dem Feld `Occurencetime` in der Log-Nachricht übernommen und in einen Zeitstempel konvertiert.
Opid	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `Opid` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `op_id` zugeordnet.
Programm	event.idm.read_only_udm.principal.application	Wert aus dem Feld `Program` in der Log-Nachricht.
Schweregrad	event.idm.read_only_udm.security_result.severity	Der Wert wird aus dem Feld `Severitylevel` in der Log-Nachricht übernommen und anhand einer vordefinierten Zuordnung zugeordnet.
StoragePoliciesUsed	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `StoragePoliciesUsed` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `storage_policies_used` zugeordnet.
Subclient	event.idm.read_only_udm.additional.fields.value.string_value	Wert aus dem Feld `Subclient` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `subclient_field` zugeordnet.
Typ	event.idm.read_only_udm.security_result.detection_fields.value	Wert aus dem Feld `Type` in der Log-Nachricht. Dieses Feld wird unter dem Schlüssel `alert_type` zugeordnet.
Nutzername	event.idm.read_only_udm.principal.user.userid	Wert aus dem Feld `Username` in der Log-Nachricht.
anomaly_type	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `detected_anomaly_type` zugeordnet.
Fehler	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `errors_field` zugeordnet.
file_name	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `detected_malicious_file` zugeordnet.
media_agent	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `detected_media_agent` zugeordnet.
no_of_files_created	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `no_of_files_created_field` zugeordnet.
no_of_files_deleted	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `no_of_files_deleted_field` zugeordnet.
no_of_files_modified	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `no_of_files_modified_field` zugeordnet.
no_of_files_renamed	event.idm.read_only_udm.security_result.detection_fields.value	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde. Dieses Feld wird unter dem Schlüssel `no_of_files_renamed_field` zugeordnet.
URL	event.idm.read_only_udm.network.http.referral_url	Wert, der mithilfe von Grok-Mustern aus dem Feld `Description` extrahiert wurde.
	event.idm.read_only_udm.metadata.event_type	Dieses Feld wird auf `STATUS_UPDATE` gesetzt, wenn das Feld `Client` vorhanden ist. Andernfalls wird es auf `GENERIC_EVENT` gesetzt.
	event.idm.read_only_udm.metadata.product_name	Dieses Feld ist auf `COMMVAULT` gesetzt.
	event.idm.read_only_udm.metadata.vendor_name	Dieses Feld ist auf `COMMVAULT` gesetzt.
	event.idm.read_only_udm.principal.user.user_role	Dieses Feld wird auf `ADMINISTRATOR` gesetzt, wenn das Feld `User` `Administrator` ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten