Recolha registos do Comodo AV

Compatível com:

Este documento explica como carregar registos do Comodo AV para o Google Security Operations através do Bindplane. O código do analisador extrai primeiro os campos dos registos do Comodo AV/Endpoint usando padrões Grok e separação de chave/valor. Em seguida, mapeia os dados extraídos para os campos correspondentes no esquema do modelo de dados unificado (UDM), enriquecendo os registos não processados com informações de eventos de segurança padronizadas.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
  • Acesso privilegiado à consola do Comodo IT and Security Manager

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMODO_AV'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Comodo Antivirus para enviar Syslog

  1. Inicie sessão na consola do Comodo IT and Security Manager.
  2. Aceda a Definições avançadas > Definições gerais > Registo.
  3. Indique os seguintes detalhes de configuração:
    • Selecione a caixa de verificação Escrever no servidor syslog (formato CEF).
    • Anfitrião: introduza o endereço IP do agente do Bindplane.
    • Porta: introduza o número da porta do agente do Bindplane (por exemplo, 514 para UDP).
  4. Clique em OK para guardar as alterações.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
data3 principal.asset.platform_software.platform_version O valor do campo data3, que representa a versão do produto, é mapeado para principal.asset.platform_software.platform_version.
data4 principal.user.product_object_id O valor do campo data4, que representa um identificador exclusivo do utilizador no produto, é mapeado para principal.user.product_object_id.
data5 principal.application O valor do campo data5, que representa o nome da aplicação ou do evento, é mapeado para principal.application.
datetime metadata.event_timestamp.seconds O campo datetime, que representa a data/hora do evento, é analisado e o respetivo valor em segundos desde a época é mapeado para metadata.event_timestamp.seconds.
dvc principal.ip O campo dvc, que representa o endereço IP do dispositivo, é mapeado para principal.ip.
dvchost principal.hostname O campo dvchost, que representa o nome de anfitrião do dispositivo, está mapeado para principal.hostname.
filePath target.file.full_path O campo filePath, que representa o caminho completo do ficheiro analisado, está mapeado para target.file.full_path.
fname target.process.parent_process.file.full_path O campo fname, que representa o nome do ficheiro do processo principal, é mapeado para target.process.parent_process.file.full_path.
suser target.user.userid O campo suser, que representa o utilizador associado ao evento, é mapeado para target.user.userid.
metadata.event_type Este campo é derivado com base na presença de filePath. Se filePath não estiver vazio, é definido como SCAN_FILE; caso contrário, é definido como SCAN_HOST.
metadata.log_type Este campo está definido estaticamente como COMODO_AV.
metadata.vendor_name Este campo está definido estaticamente como COMODO.
metadata.product_name Este campo está definido estaticamente como COMODO_AV.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.