Diese Seite wurde von der Cloud Translation API übersetzt.

Kaspersky-AV-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Kaspersky-Antivirus-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parsercode versucht zuerst, die Roh-Lognachricht als JSON zu parsen. Andernfalls werden Felder anhand gängiger Kaspersky-AV-Protokollformate mithilfe von regulären Ausdrücken (grok-Mustern) aus der Nachricht extrahiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Berechtigter Zugriff auf Kaspersky Antivirus

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yamlso:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: KASPERSKY_AV
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Ereignisexport in Kaspersky AV konfigurieren

Melden Sie sich in der Kaspersky Security Center-Konsole an.
Wählen Sie den Verwaltungsserver aus, von dem Sie Ereignisse exportieren möchten.
Klicken Sie im Arbeitsbereich Administrationsserver auf den Tab Ereignisse.
Klicken Sie auf den Link „Benachrichtigungen und Ereignisexport konfigurieren“.
Wählen Sie in der Liste Export in SIEM-System konfigurieren aus.
Geben Sie die folgenden Konfigurationsdetails an:
- SIEM-System: Wählen Sie Arcsight (CEF-Format) aus.
- SIEM-System-Serveradresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- SIEM-Systemserverport: Geben Sie die Portnummer des Bindplane-Agents ein (z. B. 514 für UDP).
- Protokoll: Wählen Sie UDP aus.
Klicken Sie auf OK.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Anwendung	network.http.user_agent	Direkt aus dem Feld `Application` im Rohprotokoll zugeordnet.
Anwendungspfad	target.process.file.full_path	Wird mit dem Feld `Name` verwendet, um den vollständigen Pfad zu erstellen, wenn `Application path` im Rohprotokoll vorhanden ist.
Komponente	target.resource.name	Direkt aus dem Feld `Component` im Rohprotokoll zugeordnet.
Inhaltskategorie	security_result.category_details	Wird dem Feld `security_result.category_details` hinzugefügt, wenn `Content category` im Rohprotokoll vorhanden ist.
Quelle der Inhaltskategorie	target.resource.type	Wenn der Wert `databases` enthält, wird das UDM-Feld auf `DATABASE` gesetzt.
Erreur	security_result.summary	Wird direkt aus dem Feld `Erreur` im Rohprotokoll zugeordnet, wenn das Feld `summary` leer ist.
et	metadata.product_event_type	Wird direkt aus dem Feld `et` im Rohprotokoll zugeordnet, wenn das Feld `product_event_type` leer ist.
et	security_result.category_details	Dem Feld `security_result.category_details` hinzugefügt.
etdn	extensions.vulns.vulnerabilities.description	Direkt aus dem Feld `etdn` im Rohprotokoll zugeordnet.
SHA256-Hash der Datei	target.process.file.sha256	Direkt aus dem Feld `File SHA256 hash` im Rohprotokoll zugeordnet.
gn	security_result.about.labels	`key` ist auf `GN` und `value` auf den Wert des Felds `gn` gesetzt.
hdn	principal.hostname	Direkt aus dem Feld `hdn` im Rohprotokoll zugeordnet.
Hüfte	principal.ip	Direkt aus dem Feld `hip` im Rohprotokoll zugeordnet.
host_name	principal.hostname	Direkt aus dem Feld `host_name` im Rohprotokoll zugeordnet.
intermediary_host	intermediary.hostname	Direkt aus dem Feld `intermediary_host` im Rohprotokoll zugeordnet.
intermediary_hostname	intermediary.hostname	Direkt aus dem Feld `intermediary_hostname` im Rohprotokoll zugeordnet.
kv_data1		Dieses Feld wird analysiert und seine Werte werden anderen UDM-Feldern zugeordnet.
kv_data2		Dieses Feld wird analysiert und seine Werte werden anderen UDM-Feldern zugeordnet.
Label	network.http.user_agent	Wenn der Wert `User-Agent` ist, wird das UDM-Feld mit dem Wert des Felds `description` ausgefüllt.
Label	principal.hostname	Wenn der Wert `Host` ist, wird das UDM-Feld mit dem aus dem Feld `description` extrahierten Hostnamen ausgefüllt.
Label	security_result.description	Bei anderen Werten wird das UDM-Feld mit einem String aus den Feldern `label` und `description` ausgefüllt.
MD5	target.process.file.md5	Wird direkt aus dem Feld `MD5` im Rohprotokoll abgeleitet, nachdem es in Kleinbuchstaben umgewandelt wurde.
MD5-Datei-Hash	target.process.file.md5	Direkt aus dem Feld `MD5 file hash` im Rohprotokoll zugeordnet.
Nachricht		Dieses Feld wird analysiert und seine Werte werden anderen UDM-Feldern zugeordnet.
Methode	network.http.method	Wird direkt aus dem Feld `method` im Rohprotokoll zugeordnet, wenn es mit einer Liste von HTTP-Methoden übereinstimmt.
Name	target.file.full_path	Direkt aus dem Feld `name` im Rohprotokoll zugeordnet.
Nom	target.process.file.full_path	Wird mit dem Feld `application_path` verwendet, um den vollständigen Pfad zu erstellen.
p1	target.process.file.sha256	Wird direkt aus dem Feld `p1` im Rohprotokoll abgeleitet, nachdem es in Kleinbuchstaben umgewandelt wurde, wenn das Feld `SHA256` leer ist und der Wert ein Hexadezimalstring ist.
p2	target.process.file.full_path	Direkt aus dem Feld `p2` im Rohprotokoll zugeordnet.
P5	security_result.rule_name	Direkt aus dem Feld `p5` im Rohprotokoll zugeordnet.
p7	principal.user.user_display_name	Wird direkt aus dem Feld `p7` im Rohprotokoll zugeordnet, wenn die Felder `User` und `user_name` leer sind.
Prozess-ID	principal.process.pid	Direkt aus dem Feld `Process ID` im Rohprotokoll zugeordnet.
process_id	target.process.pid	Direkt aus dem Feld `process_id` im Rohprotokoll zugeordnet.
Protokoll	network.application_protocol	Wenn der Wert `http` enthält (Groß- und Kleinschreibung wird nicht berücksichtigt), wird das UDM-Feld auf `HTTP` gesetzt.
Grund	security_result.summary	Direkt aus dem Feld `Reason` im Rohprotokoll zugeordnet.
Angeforderte Webseite	target.url	Direkt aus dem Feld `Requested web page` im Rohprotokoll zugeordnet.
Ergebnis		Wenn der Wert `Allowed` ist, wird das Feld `sr_action` auf `ALLOW` gesetzt.
rtid	security_result.about.labels	`key` ist auf `rtid` und `value` auf den Wert des Felds `rtid` gesetzt.
Regel	security_result.description	Direkt aus dem Feld `Rule` im Rohprotokoll zugeordnet.
SHA256	target.process.file.sha256	Wird direkt aus dem Feld `SHA256` im Rohprotokoll abgeleitet, nachdem es in Kleinbuchstaben umgewandelt wurde.
sr_action	security_result.action	Mit dem Feld `security_result.action` zusammengeführt.
Zusammenfassung	security_result.summary	Direkt aus dem Feld `summary` im Rohprotokoll zugeordnet.
task_name	security_result.about.labels	`key` ist auf `TaskName` und `value` auf den Wert des Felds `task_name` gesetzt.
threat_action_taken		Wenn der Wert `blocked` ist, wird das Feld `security_action` auf `BLOCK` gesetzt. Wenn der Wert `allowed` ist, wird das Feld `security_action` auf `ALLOW` gesetzt.
timestamp	metadata.event_timestamp	Wird zum Ausfüllen des Ereigniszeitstempels verwendet.
Typ	security_result.threat_name	Direkt aus dem Feld `Type` im Rohprotokoll zugeordnet.
URL	network.http.referral_url	Direkt aus dem Feld `url` im Rohprotokoll zugeordnet.
Nutzer	principal.user.user_display_name	Der Nutzername wird aus diesem Feld extrahiert und dem UDM-Feld zugeordnet.
Nutzer	principal.administrative_domain	Die Domain wird aus diesem Feld extrahiert und dem UDM-Feld zugeordnet.
user_name	principal.user.user_display_name	Wird direkt aus dem Feld `user_name` im Rohprotokoll zugeordnet, wenn das Feld `User` leer ist.
	metadata.event_type	Setze den Wert auf `SCAN_VULN_NETWORK`, wenn `Application path` und `Name` vorhanden sind, auf `STATUS_UNCATEGORIZED`, wenn `hdn` oder `host_name` vorhanden sind, oder auf `GENERIC_EVENT`, wenn dies nicht der Fall ist.
	metadata.vendor_name	Immer auf `KASPERSKY` gesetzt.
	metadata.product_name	Immer auf `KASPERSKY_AV` gesetzt.
	metadata.log_type	Immer auf `KASPERSKY_AV` gesetzt.

Änderungen

2025-02-13

Optimierung:

Unterstützung für das Parsen nicht geparster CEF-Protokolle hinzugefügt.

2025-02-05

Optimierung:

Unterstützung für das Parsen nicht geparster CEF-Protokolle hinzugefügt.

2023-10-13

Optimierung:

Hachage SHA256, p1 wurde target.process.file.sha256 zugeordnet.
Hachage MD5, md5 wurde target.process.file.md5 zugeordnet.
intermediary wurde event.idm.read_only_udm.intermediary zugeordnet.

2022-10-14

Optimierung:

„gsub“ wurde hinzugefügt, um unerwünschte Sonderzeichen zu umgehen.

2022-05-17

Optimierung:

Zuordnungen für die folgenden Felder hinzugefügt
Nom (Name des Prozesses/der Anwendung) (Name) wird auf target.file.full_path (Erweiterung) zugeordnet.
Chemin de l'application (Anwendungspfad) wird auf target.file.full_path zugeordnet.
„Type d'événement“ (Ereignistyp) zugeordnet zu „metadata.product_event_type“.
ID du processus (Prozess-ID), die mit target.process.pid verknüpft ist.
„Description du résultat“ (Ergebnisbeschreibung) wird mit „metadata.description“ abgeglichen.
Erreur (Fehler) wird security_result.summary zugeordnet.

2022-03-29

Optimierung:

Es wurden Zuordnungen für die folgenden fehlenden Felder hinzugefügt:
Result description wurde security_result.description zugeordnet.
Type wurde security_result.threat_name zugeordnet.
MD5 wurde process.file.md5 zugeordnet.
SHA256 wurde process.file.sha256 zugeordnet.
p2 wurde target.process.file.full_path zugeordnet.
p5 wurde security_result.rule_name zugeordnet.
p7 wurde principal.user.user_display_name zugeordnet.
Reason wurde security_result.summary zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten