Raccogliere i log di Comodo AV

Supportato in:

Questo documento spiega come importare i log di Comodo AV in Google Security Operations utilizzando Bindplane. Il codice dell'analizzatore sintattico estrae innanzitutto i campi dai log di Comodo AV/Endpoint utilizzando i pattern Grok e la separazione chiave-valore. Successivamente, mappa i dati estratti ai campi corrispondenti nello schema Unified Data Model (UDM), arricchendo i log non elaborati con informazioni standardizzate sugli eventi di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso privilegiato alla console Comodo IT and Security Manager

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMODO_AV'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Comodo Antivirus per l'invio di Syslog

  1. Accedi alla console Comodo IT and Security Manager.
  2. Vai a Impostazioni avanzate > Impostazioni generali > Registrazione.
  3. Fornisci i seguenti dettagli di configurazione:
    • Seleziona la casella di controllo Scrivi nel server syslog (formato CEF).
    • Host: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta: inserisci il numero di porta dell'agente Bindplane (ad es. 514 per UDP).
  4. Fai clic su Ok per salvare le modifiche.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
data3 principal.asset.platform_software.platform_version Il valore del campo data3, che rappresenta la versione del prodotto, viene mappato a principal.asset.platform_software.platform_version.
data4 principal.user.product_object_id Il valore del campo data4, che rappresenta un identificatore univoco per l'utente all'interno del prodotto, viene mappato a principal.user.product_object_id.
data5 principal.application Il valore del campo data5, che rappresenta il nome dell'applicazione o dell'evento, viene mappato a principal.application.
dataora metadata.event_timestamp.seconds Il campo datetime, che rappresenta il timestamp dell'evento, viene analizzato e il relativo valore in secondi viene mappato a metadata.event_timestamp.seconds.
dvc principal.ip Il campo dvc, che rappresenta l'indirizzo IP del dispositivo, è mappato a principal.ip.
dvchost principal.hostname Il campo dvchost, che rappresenta il nome host del dispositivo, è mappato a principal.hostname.
filePath target.file.full_path Il campo filePath, che rappresenta il percorso completo del file scansionato, è mappato a target.file.full_path.
fname target.process.parent_process.file.full_path Il campo fname, che rappresenta il nome file del processo padre, è mappato a target.process.parent_process.file.full_path.
suser target.user.userid Il campo suser, che rappresenta l'utente associato all'evento, viene mappato a target.user.userid.
metadata.event_type Questo campo viene derivato in base alla presenza di filePath. Se filePath non è vuoto, è impostato su SCAN_FILE, altrimenti su SCAN_HOST.
metadata.log_type Questo campo è impostato staticamente su COMODO_AV.
metadata.vendor_name Questo campo è impostato staticamente su COMODO.
metadata.product_name Questo campo è impostato staticamente su COMODO_AV.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.