Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log AV Kaspersky

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Antivirus Kaspersky ke Google Security Operations menggunakan Bindplane. Kode parser pertama-tama mencoba menguraikan pesan log mentah sebagai JSON. Jika gagal, maka akan menggunakan ekspresi reguler (pola grok) untuk mengekstrak kolom dari pesan berdasarkan format log AV Kaspersky yang umum.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika dijalankan di belakang proxy, port firewall terbuka
Akses istimewa ke Kaspersky Antivirus

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: KASPERSKY_AV
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi ekspor peristiwa di Kaspersky AV

Login ke konsol Kaspersky Security Center.
Pilih Server Administrasi yang peristiwanya ingin Anda ekspor.
Di ruang kerja Administration Server, klik tab Events.
Klik link Konfigurasi notifikasi dan ekspor peristiwa.
Pilih Konfigurasi ekspor ke sistem SIEM dalam daftar.
Berikan detail konfigurasi berikut:
- Sistem SIEM: Pilih Arcsight (format CEF).
- Alamat server sistem SIEM: Masukkan alamat IP agen Bindplane.
- Port server sistem SIEM: Masukkan nomor port agen Bindplane (misalnya, 514 untuk UDP).
- Protocol: Pilih UDP.
Klik Oke.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Aplikasi	network.http.user_agent	Dipetakan langsung dari kolom `Application` dalam log mentah.
Jalur aplikasi	target.process.file.full_path	Digunakan dengan kolom `Name` untuk membuat jalur lengkap jika `Application path` ada di log mentah.
Komponen	target.resource.name	Dipetakan langsung dari kolom `Component` dalam log mentah.
Kategori konten	security_result.category_details	Ditambahkan ke kolom `security_result.category_details` jika `Content category` ada di log mentah.
Sumber kategori konten	target.resource.type	Jika nilai berisi `databases`, kolom UDM akan disetel ke `DATABASE`.
Erreur	security_result.summary	Dipetakan langsung dari kolom `Erreur` dalam log mentah jika kolom `summary` kosong.
et	metadata.product_event_type	Dipetakan langsung dari kolom `et` dalam log mentah jika kolom `product_event_type` kosong.
et	security_result.category_details	Ditambahkan ke kolom `security_result.category_details`.
etdn	extensions.vulns.vulnerabilities.description	Dipetakan langsung dari kolom `etdn` dalam log mentah.
Hash SHA256 file	target.process.file.sha256	Dipetakan langsung dari kolom `File SHA256 hash` dalam log mentah.
gn	security_result.about.labels	`key` ditetapkan ke `GN` dan `value` ditetapkan ke nilai kolom `gn`.
hdn	principal.hostname	Dipetakan langsung dari kolom `hdn` dalam log mentah.
pinggul	principal.ip	Dipetakan langsung dari kolom `hip` dalam log mentah.
host_name	principal.hostname	Dipetakan langsung dari kolom `host_name` dalam log mentah.
intermediary_host	intermediary.hostname	Dipetakan langsung dari kolom `intermediary_host` dalam log mentah.
intermediary_hostname	intermediary.hostname	Dipetakan langsung dari kolom `intermediary_hostname` dalam log mentah.
kv_data1		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
kv_data2		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
label	network.http.user_agent	Jika nilainya adalah `User-Agent`, kolom UDM akan diisi dengan nilai kolom `description`.
label	principal.hostname	Jika nilainya `Host`, kolom UDM akan diisi dengan nama host yang diekstrak dari kolom `description`.
label	security_result.description	Untuk nilai lainnya, kolom UDM diisi dengan string yang berisi kolom `label` dan `description`.
MD5	target.process.file.md5	Dipetakan langsung dari kolom `MD5` dalam log mentah setelah dikonversi menjadi huruf kecil.
Hash file MD5	target.process.file.md5	Dipetakan langsung dari kolom `MD5 file hash` dalam log mentah.
pesan		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
metode	network.http.method	Dipetakan langsung dari kolom `method` dalam log mentah jika cocok dengan daftar metode HTTP.
nama	target.file.full_path	Dipetakan langsung dari kolom `name` dalam log mentah.
Nom	target.process.file.full_path	Digunakan dengan kolom `application_path` untuk membuat jalur lengkap.
p1	target.process.file.sha256	Dipetakan langsung dari kolom `p1` dalam log mentah setelah mengonversinya menjadi huruf kecil jika kolom `SHA256` kosong dan nilainya adalah string heksadesimal.
p2	target.process.file.full_path	Dipetakan langsung dari kolom `p2` dalam log mentah.
p5	security_result.rule_name	Dipetakan langsung dari kolom `p5` dalam log mentah.
p7	principal.user.user_display_name	Dipetakan langsung dari kolom `p7` dalam log mentah jika kolom `User` dan `user_name` kosong.
ID proses	principal.process.pid	Dipetakan langsung dari kolom `Process ID` dalam log mentah.
process_id	target.process.pid	Dipetakan langsung dari kolom `process_id` dalam log mentah.
protokol	network.application_protocol	Jika nilai berisi `http` (tidak peka huruf besar/kecil), kolom UDM akan ditetapkan ke `HTTP`.
Alasan	security_result.summary	Dipetakan langsung dari kolom `Reason` dalam log mentah.
Halaman web yang diminta	target.url	Dipetakan langsung dari kolom `Requested web page` dalam log mentah.
Hasil		Jika nilainya adalah `Allowed`, kolom `sr_action` akan disetel ke `ALLOW`.
rtid	security_result.about.labels	`key` ditetapkan ke `rtid` dan `value` ditetapkan ke nilai kolom `rtid`.
Aturan	security_result.description	Dipetakan langsung dari kolom `Rule` dalam log mentah.
SHA256	target.process.file.sha256	Dipetakan langsung dari kolom `SHA256` dalam log mentah setelah dikonversi menjadi huruf kecil.
sr_action	security_result.action	Digabungkan ke dalam kolom `security_result.action`.
ringkasan	security_result.summary	Dipetakan langsung dari kolom `summary` dalam log mentah.
task_name	security_result.about.labels	`key` ditetapkan ke `TaskName` dan `value` ditetapkan ke nilai kolom `task_name`.
threat_action_taken		Jika nilainya adalah `blocked`, kolom `security_action` akan disetel ke `BLOCK`. Jika nilainya adalah `allowed`, kolom `security_action` akan disetel ke `ALLOW`.
timestamp	metadata.event_timestamp	Digunakan untuk mengisi stempel waktu acara.
Jenis	security_result.threat_name	Dipetakan langsung dari kolom `Type` dalam log mentah.
URL	network.http.referral_url	Dipetakan langsung dari kolom `url` dalam log mentah.
Pengguna	principal.user.user_display_name	Nama pengguna diekstrak dari kolom ini dan dipetakan ke kolom UDM.
Pengguna	principal.administrative_domain	Domain diekstrak dari kolom ini dan dipetakan ke kolom UDM.
user_name	principal.user.user_display_name	Dipetakan langsung dari kolom `user_name` dalam log mentah jika kolom `User` kosong.
	metadata.event_type	Disetel ke `SCAN_VULN_NETWORK` jika `Application path` dan `Name` ada, `STATUS_UNCATEGORIZED` jika `hdn` atau `host_name` ada, atau `GENERIC_EVENT` jika tidak.
	metadata.vendor_name	Selalu ditetapkan ke `KASPERSKY`.
	metadata.product_name	Selalu ditetapkan ke `KASPERSKY_AV`.
	metadata.log_type	Selalu ditetapkan ke `KASPERSKY_AV`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.