Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Commvault

Compatível com:

Google SecOps SIEM

Neste documento, explicamos como ingerir registros do Commvault no Google Security Operations usando o Bindplane. O analisador extrai dados dos registros COMMVAULT, categorizando-os como alertas, eventos ou trilhas de auditoria. Em seguida, ele normaliza e estrutura os campos extraídos em um modelo de dados unificado (UDM) usando análise de valor-chave, extração de carimbo de data/hora e mapeamento de campos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Acesso privilegiado ao Commvault Cloud

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Commvault Cloud

Faça login no console de gerenciamento do Commvault.
Acesse Gerenciar > Sistema.
Clique no bloco do conector SIEM.
Clique em Adicionar conector.
Na guia Geral, insira os seguintes detalhes:
- Nome do conector: insira um nome para o conector.
- Tipo de conector: selecione Syslog.
- Dados de streaming: selecione os dados que você quer exportar.
Clique em Próxima.
Na guia Definição do conector, clique em Adicionar servidor syslog.
Informe os seguintes detalhes de configuração:
- Servidor Syslog: insira o endereço IP do agente do Bindplane.
- Número da porta: insira o número da porta do agente do Bindplane.
Clique em Enviar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
AgentType	event.idm.read_only_udm.observer.application	Valor extraído do campo `AgentType` na mensagem de registro.
Alertid	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Alertid` na mensagem de registro. Esse campo é mapeado na chave `alert_id`.
Alertname	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Alertname` na mensagem de registro. Esse campo é mapeado na chave `alert_name`.
Alertseverity	event.idm.read_only_udm.security_result.severity	Esse campo é usado para preencher o campo `security_result.severity` com base no valor dele.
Alerttime	event.idm.read_only_udm.metadata.event_timestamp	Valor extraído do campo `Alerttime` na mensagem de registro e convertido em um carimbo de data/hora.
BackupLevel	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `BackupLevel` na mensagem de registro. Esse campo é mapeado na chave `backup_level`.
BackupSet	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `BackupSet` na mensagem de registro. Esse campo é mapeado na chave `backup_set`.
Cliente	event.idm.read_only_udm.principal.hostname	Valor extraído do campo `Client` na mensagem de registro.
CommCell	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `CommCell` na mensagem de registro. Esse campo é mapeado na chave `comcell_field`.
Computador	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `Computer` na mensagem de registro. Esse campo é mapeado na chave `computer_field`.
Descrição	event.idm.read_only_udm.metadata.description	Valor extraído do campo `Description` na mensagem de registro após algum processamento e limpeza.
DetectedCriteria	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `DetectedCriteria` na mensagem de registro. Esse campo é mapeado na chave `detected_criteria`.
DetectedTime	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `DetectedTime` na mensagem de registro. Esse campo é mapeado na chave `detected_time`.
Detalhes	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `Details` na mensagem de registro. Esse campo é mapeado na chave `details_field`.
Eventid	event.idm.read_only_udm.metadata.product_log_id	Valor extraído do campo `Eventid` na mensagem de registro.
Eventseverity	event.idm.read_only_udm.security_result.severity	Esse campo é usado para preencher o campo `security_result.severity` com base no valor dele.
Falha	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Failure` na mensagem de registro. Esse campo é mapeado na chave `failure_filed`.
Instância	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `Instance` na mensagem de registro. Esse campo é mapeado na chave `instance_field`.
Jobid	event.idm.read_only_udm.principal.process.pid	Valor extraído do campo `Jobid` na mensagem de registro.
MonitoringCriteria	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `MonitoringCriteria` na mensagem de registro. Esse campo é mapeado na chave `monitoring_criteria`.
Occurencetime	event.idm.read_only_udm.metadata.event_timestamp	Valor extraído do campo `Occurencetime` na mensagem de registro e convertido em um carimbo de data/hora.
Opid	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Opid` na mensagem de registro. Esse campo é mapeado na chave `op_id`.
Program	event.idm.read_only_udm.principal.application	Valor extraído do campo `Program` na mensagem de registro.
Severitylevel	event.idm.read_only_udm.security_result.severity	Valor extraído do campo `Severitylevel` na mensagem de registro e mapeado com base em um mapeamento predefinido.
StoragePoliciesUsed	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `StoragePoliciesUsed` na mensagem de registro. Esse campo é mapeado na chave `storage_policies_used`.
Subclient	event.idm.read_only_udm.additional.fields.value.string_value	Valor extraído do campo `Subclient` na mensagem de registro. Esse campo é mapeado na chave `subclient_field`.
Tipo	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Type` na mensagem de registro. Esse campo é mapeado na chave `alert_type`.
Nome de usuário	event.idm.read_only_udm.principal.user.userid	Valor extraído do campo `Username` na mensagem de registro.
anomaly_type	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `detected_anomaly_type`.
erros	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `errors_field`.
file_name	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `detected_malicious_file`.
media_agent	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `detected_media_agent`.
no_of_files_created	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `no_of_files_created_field`.
no_of_files_deleted	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `no_of_files_deleted_field`.
no_of_files_modified	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `no_of_files_modified_field`.
no_of_files_renamed	event.idm.read_only_udm.security_result.detection_fields.value	Valor extraído do campo `Description` usando padrões grok. Esse campo é mapeado na chave `no_of_files_renamed_field`.
URL	event.idm.read_only_udm.network.http.referral_url	Valor extraído do campo `Description` usando padrões grok.
	event.idm.read_only_udm.metadata.event_type	Esse campo é definido como `STATUS_UPDATE` se o campo `Client` estiver presente. Caso contrário, ele será definido como `GENERIC_EVENT`.
	event.idm.read_only_udm.metadata.product_name	Esse campo está definido como `COMMVAULT`.
	event.idm.read_only_udm.metadata.vendor_name	Esse campo está definido como `COMMVAULT`.
	event.idm.read_only_udm.principal.user.user_role	Esse campo é definido como `ADMINISTRATOR` se o campo `User` for `Administrator`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.