Recopila registros de Commvault

Compatible con:

En este documento, se explica cómo transferir registros de Commvault a Google Security Operations con Bindplane. El analizador extrae datos de los registros de COMMVAULT y los clasifica como Alertas, Eventos o Registros de auditoría. Luego, normaliza y estructura los campos extraídos en un modelo de datos unificado (UDM) con el análisis de clave-valor, la extracción de marcas de tiempo y la asignación de campos.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a Commvault Cloud

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Commvault Cloud

  1. Accede a la Consola de administración de Commvault.
  2. Ve a Administrar > Sistema.
  3. Haz clic en el mosaico del conector SIEM.
  4. Haz clic en Agregar conector.
  5. En la pestaña General, ingresa los siguientes detalles:
    • Nombre del conector: Ingresa un nombre para el conector.
    • Tipo de conector: Selecciona Syslog.
    • Datos de transmisión: Selecciona los datos que deseas exportar.
  6. Haz clic en Siguiente.
  7. En la pestaña Connector Definition, haz clic en Add syslog server.
  8. Proporciona los siguientes detalles de configuración:
    • Servidor Syslog: Ingresa la dirección IP del agente de BindPlane.
    • Número de puerto: Ingresa el número de puerto del agente de Bindplane.
  9. Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AgentType event.idm.read_only_udm.observer.application Es el valor que se toma del campo AgentType en el mensaje de registro.
Alertid event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo Alertid en el mensaje de registro. Este campo se asigna a la clave alert_id.
Alertname event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo Alertname en el mensaje de registro. Este campo se asigna a la clave alert_name.
Alertseverity event.idm.read_only_udm.security_result.severity Este campo se usa para propagar el campo security_result.severity según su valor.
Alerttime event.idm.read_only_udm.metadata.event_timestamp Valor tomado del campo Alerttime en el mensaje de registro y convertido en una marca de tiempo.
BackupLevel event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo BackupLevel en el mensaje de registro. Este campo se asigna a la clave backup_level.
BackupSet event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo BackupSet en el mensaje de registro. Este campo se asigna a la clave backup_set.
Cliente event.idm.read_only_udm.principal.hostname Es el valor que se toma del campo Client en el mensaje de registro.
CommCell event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo CommCell en el mensaje de registro. Este campo se asigna a la clave comcell_field.
Computadora event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo Computer en el mensaje de registro. Este campo se asigna a la clave computer_field.
Descripción event.idm.read_only_udm.metadata.description Valor tomado del campo Description en el mensaje de registro después de cierto procesamiento y limpieza.
DetectedCriteria event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo DetectedCriteria en el mensaje de registro. Este campo se asigna a la clave detected_criteria.
DetectedTime event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo DetectedTime en el mensaje de registro. Este campo se asigna a la clave detected_time.
Detalles event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo Details en el mensaje de registro. Este campo se asigna a la clave details_field.
Eventid event.idm.read_only_udm.metadata.product_log_id Es el valor que se toma del campo Eventid en el mensaje de registro.
Eventseverity event.idm.read_only_udm.security_result.severity Este campo se usa para propagar el campo security_result.severity según su valor.
Con errores event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo Failure en el mensaje de registro. Este campo se asigna a la clave failure_filed.
Instancia event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo Instance en el mensaje de registro. Este campo se asigna a la clave instance_field.
Jobid event.idm.read_only_udm.principal.process.pid Es el valor que se toma del campo Jobid en el mensaje de registro.
MonitoringCriteria event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo MonitoringCriteria en el mensaje de registro. Este campo se asigna a la clave monitoring_criteria.
Occurencetime event.idm.read_only_udm.metadata.event_timestamp Valor tomado del campo Occurencetime en el mensaje de registro y convertido en una marca de tiempo.
Opid event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo Opid en el mensaje de registro. Este campo se asigna a la clave op_id.
Program event.idm.read_only_udm.principal.application Es el valor que se toma del campo Program en el mensaje de registro.
Severitylevel event.idm.read_only_udm.security_result.severity Valor tomado del campo Severitylevel en el mensaje de registro y asignado según una asignación predefinida.
StoragePoliciesUsed event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo StoragePoliciesUsed en el mensaje de registro. Este campo se asigna a la clave storage_policies_used.
Subclient event.idm.read_only_udm.additional.fields.value.string_value Es el valor que se toma del campo Subclient en el mensaje de registro. Este campo se asigna a la clave subclient_field.
Tipo event.idm.read_only_udm.security_result.detection_fields.value Es el valor que se toma del campo Type en el mensaje de registro. Este campo se asigna a la clave alert_type.
Nombre de usuario event.idm.read_only_udm.principal.user.userid Es el valor que se toma del campo Username en el mensaje de registro.
anomaly_type event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave detected_anomaly_type.
errores event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave errors_field.
file_name event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave detected_malicious_file.
media_agent event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave detected_media_agent.
no_of_files_created event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave no_of_files_created_field.
no_of_files_deleted event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave no_of_files_deleted_field.
no_of_files_modified event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave no_of_files_modified_field.
no_of_files_renamed event.idm.read_only_udm.security_result.detection_fields.value Es el valor extraído del campo Description con patrones de Grok. Este campo se asigna a la clave no_of_files_renamed_field.
URL event.idm.read_only_udm.network.http.referral_url Es el valor extraído del campo Description con patrones de Grok.
event.idm.read_only_udm.metadata.event_type Este campo se establece en STATUS_UPDATE si el campo Client está presente; de lo contrario, se establece en GENERIC_EVENT.
event.idm.read_only_udm.metadata.product_name Este campo se establece como COMMVAULT.
event.idm.read_only_udm.metadata.vendor_name Este campo se establece como COMMVAULT.
event.idm.read_only_udm.principal.user.user_role Este campo se establece en ADMINISTRATOR si el campo User es Administrator.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.