Mengumpulkan log Commvault
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log Commvault ke Google Security Operations
menggunakan Bindplane. Parser mengekstrak data dari log COMMVAULT, mengategorikannya sebagai Notifikasi, Peristiwa, atau AuditTrail. Kemudian, kolom yang diekstrak dinormalisasi dan disusun ke dalam Model Data Terpadu (UDM) menggunakan penguraian key-value, ekstraksi stempel waktu, dan pemetaan kolom.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika dijalankan di belakang proxy, port firewall terbuka
- Akses istimewa ke Commvault Cloud
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
- Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'COMMVAULT' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi Syslog di Commvault Cloud
- Login ke Konsol Pengelolaan Commvault.
- Buka Kelola > Sistem.
- Klik kartu konektor SIEM.
- Klik Add connector.
- Di tab Umum, masukkan detail berikut:
- Nama konektor: Masukkan nama untuk konektor.
- Jenis konektor: Pilih Syslog.
- Data streaming: Pilih data yang ingin Anda ekspor.
- Klik Berikutnya.
- Di tab Connector Definition, klik Add syslog server.
- Berikan detail konfigurasi berikut:
- Server syslog: Masukkan alamat IP agen BindPlane.
- Nomor port: Masukkan nomor port agen Bindplane.
- Klik Kirim.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| AgentType | event.idm.read_only_udm.observer.application | Nilai diambil dari kolom AgentType dalam pesan log. |
| Alertid | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom Alertid dalam pesan log. Kolom ini dipetakan di bawah kunci alert_id. |
| Alertname | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom Alertname dalam pesan log. Kolom ini dipetakan di bawah kunci alert_name. |
| Alertseverity | event.idm.read_only_udm.security_result.severity | Kolom ini digunakan untuk mengisi kolom security_result.severity berdasarkan nilainya. |
| Alerttime | event.idm.read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom Alerttime dalam pesan log dan dikonversi menjadi stempel waktu. |
| BackupLevel | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom BackupLevel dalam pesan log. Kolom ini dipetakan di bawah kunci backup_level. |
| BackupSet | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom BackupSet dalam pesan log. Kolom ini dipetakan di bawah kunci backup_set. |
| Klien | event.idm.read_only_udm.principal.hostname | Nilai diambil dari kolom Client dalam pesan log. |
| CommCell | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom CommCell dalam pesan log. Kolom ini dipetakan di bawah kunci comcell_field. |
| Komputer | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Computer dalam pesan log. Kolom ini dipetakan di bawah kunci computer_field. |
| Deskripsi | event.idm.read_only_udm.metadata.description | Nilai diambil dari kolom Description dalam pesan log setelah beberapa pemrosesan dan pembersihan. |
| DetectedCriteria | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom DetectedCriteria dalam pesan log. Kolom ini dipetakan di bawah kunci detected_criteria. |
| DetectedTime | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom DetectedTime dalam pesan log. Kolom ini dipetakan di bawah kunci detected_time. |
| Detail | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Details dalam pesan log. Kolom ini dipetakan di bawah kunci details_field. |
| Eventid | event.idm.read_only_udm.metadata.product_log_id | Nilai diambil dari kolom Eventid dalam pesan log. |
| Eventseverity | event.idm.read_only_udm.security_result.severity | Kolom ini digunakan untuk mengisi kolom security_result.severity berdasarkan nilainya. |
| Gagal | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom Failure dalam pesan log. Kolom ini dipetakan di bawah kunci failure_filed. |
| Instance | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Instance dalam pesan log. Kolom ini dipetakan di bawah kunci instance_field. |
| Jobid | event.idm.read_only_udm.principal.process.pid | Nilai diambil dari kolom Jobid dalam pesan log. |
| MonitoringCriteria | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom MonitoringCriteria dalam pesan log. Kolom ini dipetakan di bawah kunci monitoring_criteria. |
| Occurencetime | event.idm.read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom Occurencetime dalam pesan log dan dikonversi menjadi stempel waktu. |
| Opid | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom Opid dalam pesan log. Kolom ini dipetakan di bawah kunci op_id. |
| Program | event.idm.read_only_udm.principal.application | Nilai diambil dari kolom Program dalam pesan log. |
| Tingkat keparahan | event.idm.read_only_udm.security_result.severity | Nilai diambil dari kolom Severitylevel dalam pesan log dan dipetakan berdasarkan pemetaan standar. |
| StoragePoliciesUsed | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom StoragePoliciesUsed dalam pesan log. Kolom ini dipetakan di bawah kunci storage_policies_used. |
| Subclient | event.idm.read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom Subclient dalam pesan log. Kolom ini dipetakan di bawah kunci subclient_field. |
| Jenis | event.idm.read_only_udm.security_result.detection_fields.value | Nilai diambil dari kolom Type dalam pesan log. Kolom ini dipetakan di bawah kunci alert_type. |
| Nama pengguna | event.idm.read_only_udm.principal.user.userid | Nilai diambil dari kolom Username dalam pesan log. |
| anomaly_type | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci detected_anomaly_type. |
| error | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci errors_field. |
| file_name | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci detected_malicious_file. |
| media_agent | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci detected_media_agent. |
| no_of_files_created | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci no_of_files_created_field. |
| no_of_files_deleted | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci no_of_files_deleted_field. |
| no_of_files_modified | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci no_of_files_modified_field. |
| no_of_files_renamed | event.idm.read_only_udm.security_result.detection_fields.value | Nilai yang diekstrak dari kolom Description menggunakan pola grok. Kolom ini dipetakan di bawah kunci no_of_files_renamed_field. |
| URL | event.idm.read_only_udm.network.http.referral_url | Nilai yang diekstrak dari kolom Description menggunakan pola grok. |
| event.idm.read_only_udm.metadata.event_type | Kolom ini ditetapkan ke STATUS_UPDATE jika kolom Client ada, jika tidak, kolom ini ditetapkan ke GENERIC_EVENT. |
|
| event.idm.read_only_udm.metadata.product_name | Kolom ini ditetapkan ke COMMVAULT. |
|
| event.idm.read_only_udm.metadata.vendor_name | Kolom ini ditetapkan ke COMMVAULT. |
|
| event.idm.read_only_udm.principal.user.user_role | Kolom ini ditetapkan ke ADMINISTRATOR jika kolom User adalah Administrator. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.