Coletar registros do Comodo AV

Compatível com:

Neste documento, explicamos como ingerir registros do Comodo AV no Google Security Operations usando o Bindplane. Primeiro, o código do analisador extrai campos dos registros do Comodo AV/Endpoint usando padrões Grok e separação de chave-valor. Em seguida, ele mapeia os dados extraídos para os campos correspondentes no esquema do modelo de dados unificado (UDM, na sigla em inglês), enriquecendo os registros brutos com informações padronizadas de ocorrência de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao console do Comodo IT and Security Manager.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMODO_AV'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
    • Substitua <customer_id> pelo ID do cliente real.
    • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o Comodo Antivirus para enviar syslog

  1. Faça login no console do Comodo IT and Security Manager (em inglês).
  2. Acesse Configurações avançadas > Configurações gerais > Registro.
  3. Informe os seguintes detalhes de configuração:
    • Marque a caixa de seleção Gravar no servidor syslog (formato CEF).
    • Host: insira o endereço IP do agente do Bindplane.
    • Porta: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
  4. Clique em OK para salvar as mudanças.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
data3 principal.asset.platform_software.platform_version O valor do campo data3, que representa a versão do produto, é mapeado para principal.asset.platform_software.platform_version.
data4 principal.user.product_object_id O valor do campo data4, que representa um identificador exclusivo do usuário no produto, é mapeado para principal.user.product_object_id.
data5 principal.application O valor do campo data5, que representa o nome do aplicativo ou do evento, é mapeado para principal.application.
datetime metadata.event_timestamp.seconds O campo datetime, que representa o carimbo de data/hora do evento, é analisado, e o valor dos segundos da época é mapeado para metadata.event_timestamp.seconds.
dvc principal.ip O campo dvc, que representa o endereço IP do dispositivo, é mapeado para principal.ip.
dvchost principal.hostname O campo dvchost, que representa o nome do host do dispositivo, é mapeado para principal.hostname.
filePath target.file.full_path O campo filePath, que representa o caminho completo do arquivo verificado, é mapeado para target.file.full_path.
fname target.process.parent_process.file.full_path O campo fname, que representa o nome do arquivo do processo principal, é mapeado para target.process.parent_process.file.full_path.
suser target.user.userid O campo suser, que representa o usuário associado ao evento, é mapeado para target.user.userid.
metadata.event_type Esse campo é derivado com base na presença de filePath. Se filePath não estiver vazio, será definido como SCAN_FILE. Caso contrário, será SCAN_HOST.
metadata.log_type Esse campo é definido estaticamente como COMODO_AV.
metadata.vendor_name Esse campo é definido estaticamente como COMODO.
metadata.product_name Esse campo é definido estaticamente como COMODO_AV.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.