收集 Commvault 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Commvault 日志注入到 Google Security Operations。解析器从 COMMVAULT 日志中提取数据,并将其归类为“提醒”“事件”或“审核轨迹”。然后,它会使用键值解析、时间戳提取和字段映射,将提取的字段规范化并构建为统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果在代理后运行,防火墙端口处于开放状态
  • 对 Commvault Cloud 的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Commvault Cloud 中配置 Syslog

  1. 登录 Commvault 管理控制台。
  2. 依次前往管理 > 系统
  3. 点击 SIEM 连接器图块。
  4. 点击添加连接器
  5. 常规标签页上,输入以下详细信息:
    • 连接器名称:输入连接器的名称。
    • 连接器类型:选择 Syslog
    • 流式数据:选择要导出的数据。
  6. 点击下一步
  7. 连接器定义标签页上,点击添加 Syslog 服务器
  8. 提供以下配置详细信息:
    • Syslog 服务器:输入 Bindplane 代理的 IP 地址。
    • 端口号:输入 Bindplane 代理端口号。
  9. 点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AgentType event.idm.read_only_udm.observer.application 从日志消息的 AgentType 字段中获取的值。
Alertid event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 Alertid 字段中获取的值。此字段映射到 alert_id 键下。
Alertname event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 Alertname 字段中获取的值。此字段映射到 alert_name 键下。
Alertseverity event.idm.read_only_udm.security_result.severity 此字段用于根据其值填充 security_result.severity 字段。
提醒时间 event.idm.read_only_udm.metadata.event_timestamp 从日志消息中的 Alerttime 字段获取的值,并转换为时间戳。
BackupLevel event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 BackupLevel 字段中获取的值。此字段映射到 backup_level 键下。
BackupSet event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 BackupSet 字段中获取的值。此字段映射到 backup_set 键下。
客户 event.idm.read_only_udm.principal.hostname 从日志消息的 Client 字段中获取的值。
CommCell event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 CommCell 字段中获取的值。此字段映射到 comcell_field 键下。
计算机 event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 Computer 字段中获取的值。此字段映射到 computer_field 键下。
说明 event.idm.read_only_udm.metadata.description 从日志消息中的 Description 字段中提取的值,经过了一些处理和清理。
DetectedCriteria event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 DetectedCriteria 字段中获取的值。此字段映射到 detected_criteria 键下。
DetectedTime event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 DetectedTime 字段中获取的值。此字段映射到 detected_time 键下。
详细信息 event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 Details 字段中获取的值。此字段映射到 details_field 键下。
Eventid event.idm.read_only_udm.metadata.product_log_id 从日志消息的 Eventid 字段中获取的值。
Eventseverity event.idm.read_only_udm.security_result.severity 此字段用于根据其值填充 security_result.severity 字段。
失败 event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 Failure 字段中获取的值。此字段映射到 failure_filed 键下。
实例 event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 Instance 字段中获取的值。此字段映射到 instance_field 键下。
Jobid event.idm.read_only_udm.principal.process.pid 从日志消息的 Jobid 字段中获取的值。
MonitoringCriteria event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 MonitoringCriteria 字段中获取的值。此字段映射到 monitoring_criteria 键下。
发生时间 event.idm.read_only_udm.metadata.event_timestamp 从日志消息中的 Occurencetime 字段获取的值,并转换为时间戳。
Opid event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 Opid 字段中获取的值。此字段映射到 op_id 键下。
计划 event.idm.read_only_udm.principal.application 从日志消息的 Program 字段中获取的值。
Severitylevel event.idm.read_only_udm.security_result.severity 从日志消息的 Severitylevel 字段中获取的值,并根据预定义的映射进行映射。
StoragePoliciesUsed event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 StoragePoliciesUsed 字段中获取的值。此字段映射到 storage_policies_used 键下。
Subclient event.idm.read_only_udm.additional.fields.value.string_value 从日志消息的 Subclient 字段中获取的值。此字段映射到 subclient_field 键下。
类型 event.idm.read_only_udm.security_result.detection_fields.value 从日志消息的 Type 字段中获取的值。此字段映射到 alert_type 键下。
用户名 event.idm.read_only_udm.principal.user.userid 从日志消息的 Username 字段中获取的值。
anomaly_type event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 detected_anomaly_type 键下。
错误 event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 errors_field 键下。
file_name event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 detected_malicious_file 键下。
media_agent event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 detected_media_agent 键下。
no_of_files_created event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 no_of_files_created_field 键下。
no_of_files_deleted event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 no_of_files_deleted_field 键下。
no_of_files_modified event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 no_of_files_modified_field 键下。
no_of_files_renamed event.idm.read_only_udm.security_result.detection_fields.value 使用 Grok 模式从 Description 字段中提取的值。此字段映射到 no_of_files_renamed_field 键下。
网址 event.idm.read_only_udm.network.http.referral_url 使用 Grok 模式从 Description 字段中提取的值。
event.idm.read_only_udm.metadata.event_type 如果存在 Client 字段,则此字段设置为 STATUS_UPDATE;否则,此字段设置为 GENERIC_EVENT
event.idm.read_only_udm.metadata.product_name 此字段设置为 COMMVAULT
event.idm.read_only_udm.metadata.vendor_name 此字段设置为 COMMVAULT
event.idm.read_only_udm.principal.user.user_role 如果 User 字段为 Administrator,则此字段设置为 ADMINISTRATOR

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。