Collecter les journaux Veeam

Compatible avec :

Ce document explique comment ingérer des journaux Veeam dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des messages syslog à l'aide de modèles Grok, effectue des transformations de données telles que le remplacement et la fusion de champs, et mappe les données extraites au modèle de données unifié (UDM) en fonction du type d'événement et des champs disponibles. Il gère également les conditions d'erreur et définit les niveaux de gravité appropriés.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Accès privilégié à Veeam

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :
    • Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VEEAM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
    • Remplacez <customer_id> par le numéro client réel.
    • Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog pour Veeam

  1. Connectez-vous à la console Veeam Backup & Replication.
  2. Accédez à Menu > Options > Intégrations SIEM.
  3. Dans la section Serveurs Syslog, cliquez sur Ajouter.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez l'adresse IP et le numéro de port de l'agent Bindplane (par exemple, 192.168.1.1:514).
    • Transport : sélectionnez UDP ou TCP, en fonction de la configuration réelle de votre agent Bindplane.
  5. Cliquez sur OK pour enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
application principal.application Mappé directement à partir du champ application extrait par le modèle grok.
CredentialId principal.resource.attribute.labels.[] Directement mappé à partir du champ CredentialId extrait par le filtre kv. Un libellé avec la clé "CredentialId" est créé.
date_2, time_2, year metadata.event_timestamp Les champs date_2, time_2 et year sont concaténés et analysés à l'aide du filtre date pour créer metadata.event_timestamp.
date_2, time_2 metadata.event_timestamp Les champs date_2 et time_2 sont concaténés et analysés à l'aide du filtre date pour créer le metadata.event_timestamp.
deviceId principal.resource.product_object_id Directement mappé à partir du champ deviceId extrait par le filtre kv.
description security_result.description Mappé directement à partir du champ description extrait par le modèle grok.
error_code security_result.detection_fields.[] Mappé directement à partir du champ error_code extrait par le modèle grok. Un libellé avec la clé "error_code" est créé.
executing_feature principal.hostname, principal.asset.hostname Mappé directement à partir du champ executing_feature extrait par le modèle grok.
host principal.hostname, principal.asset.hostname Mappé directement à partir du champ host extrait par le modèle grok.
ManagementIP principal.ip, principal.asset.ip Directement mappé à partir du champ ManagementIP extrait par le filtre kv.
pid principal.process.pid Mappé directement à partir du champ pid extrait par le modèle grok.
previousSeverity security_result.severity_details Mappé directement à partir du champ previousSeverity extrait par le modèle grok.
prod_event_type metadata.product_event_type Mappé directement à partir du champ prod_event_type extrait par le modèle grok.
query security_result.detection_fields.[] Mappé directement à partir du champ query extrait par le modèle grok. Un libellé avec la clé "query" est créé.
reportingAddress principal.ip, principal.asset.ip Mappé directement à partir du champ reportingAddress extrait par le modèle grok.
severity security_result.severity Mappé à partir du champ severity. La valeur est déterminée par une logique conditionnelle basée sur le champ severity (ERROR, MAJOR/WARN et INFO correspondent à des valeurs de gravité UDM spécifiques).
src_ip principal.ip, principal.asset.ip Mappé directement à partir du champ src_ip extrait par le modèle grok.
summary security_result.summary Mappé directement à partir du champ summary extrait par le modèle grok.
target_ip target.ip, target.asset.ip Mappé directement à partir du champ target_ip extrait par le modèle grok.
thread_id security_result.detection_fields.[] Mappé directement à partir du champ thread_id extrait par le modèle grok. Un libellé avec la clé "thread_id" est créé.
(N/A) event_type Déterminé par la logique du parseur. Si les données MID sont présentes pour principal et target, la valeur est NETWORK_UNCATEGORIZED. Si seul principal dispose de données MID, la valeur est STATUS_UPDATE. Sinon, la valeur est GENERIC_EVENT.
(N/A) metadata.event_type Copié à partir du champ event_type généré en interne.
(N/A) metadata.vendor_name Codé en dur sur "VEEAM".
(N/A) metadata.product_name Codé en dur sur "Veeam".
(N/A) event.timestamp L'horodatage de l'événement est extrait du champ collection_time de l'entrée de journal.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.