本頁面由 Cloud Translation API 翻譯而成。

收集 Kaspersky AV 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Kaspersky Antivirus 記錄檔擷取至 Google Security Operations。剖析器程式碼會先嘗試將原始記錄訊息剖析為 JSON。如果失敗，系統會使用規則運算式 (grok 模式) 根據常見的 Kaspersky AV 記錄格式，從訊息中擷取欄位。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本或 Linux 主機 (含 systemd)
如果透過 Proxy 執行，防火牆通訊埠已開啟
Kaspersky Antivirus 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: KASPERSKY_AV
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Kaspersky AV 中設定事件匯出

登入 Kaspersky Security Center 控制台。
選取要匯出事件的管理伺服器。
在「Administration Server」工作區中，按一下「Events」分頁。
按一下「設定通知和事件匯出」連結。
從清單中選取「設定匯出至 SIEM 系統」。
提供下列設定詳細資料：
- SIEM 系統：選取「Arcsight (CEF 格式)」。
- SIEM 系統伺服器位址：輸入 Bindplane 代理程式 IP 位址。
- SIEM 系統伺服器通訊埠：輸入 Bindplane 代理程式通訊埠編號 (例如 UDP 的 514)。
- 「通訊協定」：選取「UDP」。
按一下 [確定]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
應用程式	network.http.user_agent	直接從原始記錄中的 `Application` 欄位對應。
應用程式路徑	target.process.file.full_path	如果原始記錄中存在 `Application path`，則會與 `Name` 欄位搭配使用，建構完整路徑。
元件	target.resource.name	直接從原始記錄中的 `Component` 欄位對應。
內容類別	security_result.category_details	如果原始記錄中含有 `Content category`，則會新增至 `security_result.category_details` 欄位。
內容類別來源	target.resource.type	如果值包含 `databases`，UDM 欄位會設為 `DATABASE`。
Erreur	security_result.summary	如果 `summary` 欄位空白，則直接從原始記錄中的 `Erreur` 欄位對應。
et	metadata.product_event_type	如果 `product_event_type` 欄位空白，則直接從原始記錄中的 `et` 欄位對應。
et	security_result.category_details	已新增至 `security_result.category_details` 欄位。
etdn	extensions.vulns.vulnerabilities.description	直接從原始記錄中的 `etdn` 欄位對應。
檔案 SHA256 雜湊	target.process.file.sha256	直接從原始記錄中的 `File SHA256 hash` 欄位對應。
gn	security_result.about.labels	`key` 設為 `GN`，而 `value` 設為 `gn` 欄位的值。
hdn	principal.hostname	直接從原始記錄中的 `hdn` 欄位對應。
髖部	principal.ip	直接從原始記錄中的 `hip` 欄位對應。
host_name	principal.hostname	直接從原始記錄中的 `host_name` 欄位對應。
intermediary_host	intermediary.hostname	直接從原始記錄中的 `intermediary_host` 欄位對應。
intermediary_hostname	intermediary.hostname	直接從原始記錄中的 `intermediary_hostname` 欄位對應。
kv_data1		系統會剖析這個欄位，並將值對應至其他 UDM 欄位。
kv_data2		系統會剖析這個欄位，並將值對應至其他 UDM 欄位。
標籤	network.http.user_agent	如果值為 `User-Agent`，系統會以 `description` 欄位的值填入 UDM 欄位。
標籤	principal.hostname	如果值為 `Host`，系統會從 `description` 欄位擷取主機名稱，並填入 UDM 欄位。
標籤	security_result.description	如果是其他值，UDM 欄位會填入包含 `label` 和 `description` 欄位的字串。
MD5	target.process.file.md5	直接從原始記錄中的 `MD5` 欄位對應，並轉換為小寫。
MD5 檔案雜湊	target.process.file.md5	直接從原始記錄中的 `MD5 file hash` 欄位對應。
訊息		系統會剖析這個欄位，並將值對應至其他 UDM 欄位。
方法	network.http.method	如果與 HTTP 方法清單相符，則直接從原始記錄的 `method` 欄位對應。
名稱	target.file.full_path	直接從原始記錄中的 `name` 欄位對應。
Nom	target.process.file.full_path	與 `application_path` 欄位搭配使用，可建構完整路徑。
p1	target.process.file.sha256	如果 `SHA256` 欄位空白且值為十六進位字串，系統會將原始記錄中的 `p1` 欄位直接對應至這個欄位，並轉換為小寫。
p2	target.process.file.full_path	直接從原始記錄中的 `p2` 欄位對應。
第 5 個百分位數	security_result.rule_name	直接從原始記錄中的 `p5` 欄位對應。
p7	principal.user.user_display_name	如果 `User` 和 `user_name` 欄位空白，則直接從原始記錄中的 `p7` 欄位對應。
程序 ID	principal.process.pid	直接從原始記錄中的 `Process ID` 欄位對應。
process_id	target.process.pid	直接從原始記錄中的 `process_id` 欄位對應。
通訊協定	network.application_protocol	如果值包含 `http` (不區分大小寫)，UDM 欄位會設為 `HTTP`。
原因	security_result.summary	直接從原始記錄中的 `Reason` 欄位對應。
要求的網頁	target.url	直接從原始記錄中的 `Requested web page` 欄位對應。
結果		如果值為 `Allowed`，`sr_action` 欄位會設為 `ALLOW`。
rtid	security_result.about.labels	`key` 設為 `rtid`，而 `value` 設為 `rtid` 欄位的值。
規則	security_result.description	直接從原始記錄中的 `Rule` 欄位對應。
SHA256	target.process.file.sha256	直接從原始記錄中的 `SHA256` 欄位對應，並轉換為小寫。
sr_action	security_result.action	合併至 `security_result.action` 欄位。
摘要	security_result.summary	直接從原始記錄中的 `summary` 欄位對應。
task_name	security_result.about.labels	`key` 設為 `TaskName`，而 `value` 設為 `task_name` 欄位的值。
threat_action_taken		如果值為 `blocked`，`security_action` 欄位會設為 `BLOCK`。如果值為 `allowed`，`security_action` 欄位會設為 `ALLOW`。
時間戳記	metadata.event_timestamp	用於填入事件時間戳記。
類型	security_result.threat_name	直接從原始記錄中的 `Type` 欄位對應。
網址	network.http.referral_url	直接從原始記錄中的 `url` 欄位對應。
使用者	principal.user.user_display_name	系統會從這個欄位擷取使用者名稱，並對應至 UDM 欄位。
使用者	principal.administrative_domain	系統會從這個欄位擷取網域，並對應至 UDM 欄位。
user_name	principal.user.user_display_name	如果 `User` 欄位空白，則直接從原始記錄中的 `user_name` 欄位對應。
	metadata.event_type	如果存在 `Application path` 和 `Name`，請設為 `SCAN_VULN_NETWORK`；如果存在 `hdn` 或 `host_name`，請設為 `STATUS_UNCATEGORIZED`；否則請設為 `GENERIC_EVENT`。
	metadata.vendor_name	一律設為 `KASPERSKY`。
	metadata.product_name	一律設為 `KASPERSKY_AV`。
	metadata.log_type	一律設為 `KASPERSKY_AV`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。