Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Commvault

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Commvault dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les données des journaux COMMVAULT et les classe dans les catégories "Alertes", "Événements" ou "Journaux d'audit". Il normalise et structure ensuite les champs extraits dans un modèle de données unifié (UDM) à l'aide de l'analyse clé-valeur, de l'extraction du code temporel et du mappage des champs.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Accès privilégié à Commvault Cloud

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog dans Commvault Cloud

Connectez-vous à la console de gestion Commvault.
Accédez à Gérer > Système.
Cliquez sur le bloc du connecteur SIEM.
Cliquez sur Ajouter un connecteur.
Dans l'onglet Général, saisissez les informations suivantes :
- Nom du connecteur : saisissez un nom pour le connecteur.
- Type de connecteur : sélectionnez Syslog.
- Données de streaming : sélectionnez les données que vous souhaitez exporter.
Cliquez sur Suivant.
Dans l'onglet Définition du connecteur, cliquez sur Ajouter un serveur Syslog.
Fournissez les informations de configuration suivantes :
- Serveur Syslog : saisissez l'adresse IP de l'agent Bindplane.
- Numéro de port : saisissez le numéro de port de l'agent Bindplane.
Cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
AgentType	event.idm.read_only_udm.observer.application	Valeur extraite du champ `AgentType` du message de journal.
Alertid	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Alertid` du message de journal. Ce champ est mappé sous la clé `alert_id`.
Nom de l'alerte	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Alertname` du message de journal. Ce champ est mappé sous la clé `alert_name`.
Alertseverity	event.idm.read_only_udm.security_result.severity	Ce champ est utilisé pour renseigner le champ `security_result.severity` en fonction de sa valeur.
Alerttime	event.idm.read_only_udm.metadata.event_timestamp	Valeur extraite du champ `Alerttime` du message de journal et convertie en code temporel.
BackupLevel	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `BackupLevel` du message de journal. Ce champ est mappé sous la clé `backup_level`.
BackupSet	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `BackupSet` du message de journal. Ce champ est mappé sous la clé `backup_set`.
Client	event.idm.read_only_udm.principal.hostname	Valeur extraite du champ `Client` du message de journal.
CommCell	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `CommCell` du message de journal. Ce champ est mappé sous la clé `comcell_field`.
Ordinateur	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `Computer` du message de journal. Ce champ est mappé sous la clé `computer_field`.
Description	event.idm.read_only_udm.metadata.description	Valeur extraite du champ `Description` du message de journal après traitement et nettoyage.
DetectedCriteria	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `DetectedCriteria` du message de journal. Ce champ est mappé sous la clé `detected_criteria`.
DetectedTime	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `DetectedTime` du message de journal. Ce champ est mappé sous la clé `detected_time`.
Détails	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `Details` du message de journal. Ce champ est mappé sous la clé `details_field`.
Eventid	event.idm.read_only_udm.metadata.product_log_id	Valeur extraite du champ `Eventid` du message de journal.
Eventseverity	event.idm.read_only_udm.security_result.severity	Ce champ est utilisé pour renseigner le champ `security_result.severity` en fonction de sa valeur.
Échec	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Failure` du message de journal. Ce champ est mappé sous la clé `failure_filed`.
Instance	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `Instance` du message de journal. Ce champ est mappé sous la clé `instance_field`.
Jobid	event.idm.read_only_udm.principal.process.pid	Valeur extraite du champ `Jobid` du message de journal.
MonitoringCriteria	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `MonitoringCriteria` du message de journal. Ce champ est mappé sous la clé `monitoring_criteria`.
Occurencetime	event.idm.read_only_udm.metadata.event_timestamp	Valeur extraite du champ `Occurencetime` du message de journal et convertie en code temporel.
Opid	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Opid` du message de journal. Ce champ est mappé sous la clé `op_id`.
Programme	event.idm.read_only_udm.principal.application	Valeur extraite du champ `Program` du message de journal.
Niveau de gravité	event.idm.read_only_udm.security_result.severity	Valeur extraite du champ `Severitylevel` du message de journal et mappée en fonction d'un mappage prédéfini.
StoragePoliciesUsed	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `StoragePoliciesUsed` du message de journal. Ce champ est mappé sous la clé `storage_policies_used`.
Subclient	event.idm.read_only_udm.additional.fields.value.string_value	Valeur extraite du champ `Subclient` du message de journal. Ce champ est mappé sous la clé `subclient_field`.
Type	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Type` du message de journal. Ce champ est mappé sous la clé `alert_type`.
Nom d'utilisateur	event.idm.read_only_udm.principal.user.userid	Valeur extraite du champ `Username` du message de journal.
anomaly_type	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `detected_anomaly_type`.
erreurs	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `errors_field`.
file_name	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `detected_malicious_file`.
media_agent	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `detected_media_agent`.
no_of_files_created	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `no_of_files_created_field`.
no_of_files_deleted	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `no_of_files_deleted_field`.
no_of_files_modified	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `no_of_files_modified_field`.
no_of_files_renamed	event.idm.read_only_udm.security_result.detection_fields.value	Valeur extraite du champ `Description` à l'aide de modèles Grok. Ce champ est mappé sous la clé `no_of_files_renamed_field`.
URL	event.idm.read_only_udm.network.http.referral_url	Valeur extraite du champ `Description` à l'aide de modèles Grok.
	event.idm.read_only_udm.metadata.event_type	Ce champ est défini sur `STATUS_UPDATE` si le champ `Client` est présent, sinon il est défini sur `GENERIC_EVENT`.
	event.idm.read_only_udm.metadata.product_name	Ce champ est défini sur `COMMVAULT`.
	event.idm.read_only_udm.metadata.vendor_name	Ce champ est défini sur `COMMVAULT`.
	event.idm.read_only_udm.principal.user.user_role	Ce champ est défini sur `ADMINISTRATOR` si le champ `User` est `Administrator`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.