Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log CommVault Backup and Recovery

Didukung di:

Google secops Siem

Dokumen ini menjelaskan cara menyerap log CommVault Backup and Recovery ke Google Security Operations menggunakan Bindplane. Parser mengekstrak data dari tiga jenis log yang berbeda (Notifikasi, Peristiwa, AuditTrail) dalam log Commvault. Kemudian, alat ini memetakan kolom yang diekstrak ke skema UDM Google SecOps, yang menangani berbagai tugas pembersihan dan transformasi data untuk memastikan representasi yang konsisten.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke Commvault CommCell.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Server Syslog Commvault

Login ke UI web Commvault CommCell.
Pilih Kelola > Sistem.
Klik Server syslog.
Tentukan detail server syslog berikut:
- Nama host: masukkan alamat IP agen Bindplane.
- Port: masukkan port Bindplane; misalnya, 514.
- Klik tombol Aktifkan untuk mengaktifkan setelan server syslog.
- Di kolom Teruskan ke syslog, pilih Notifikasi, Rekaman audit, dan Peristiwa.
Klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
AgentType	observer.application	Dipetakan langsung dari kolom `AgentType` di log peristiwa.
Alertid	security_result.detection_fields.Alertid.value	Dipetakan langsung dari kolom `Alertid` di log pemberitahuan.
Alertname	security_result.detection_fields.Alertname.value	Dipetakan langsung dari kolom `Alertname` di log pemberitahuan.
Alertseverity	security_result.severity	Dipetakan dari kolom `Alertseverity` di log pemberitahuan. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
Alerttime	metadata.event_timestamp	Diurai dari kolom `Alerttime` dalam log pemberitahuan dan dikonversi menjadi stempel waktu.
Audittime	metadata.event_timestamp	Diurai dari kolom `Audittime` di log audit dan dikonversi menjadi stempel waktu.
Klien	principal.hostname, principal.asset.hostname	Dipetakan langsung dari kolom `Client` di peristiwa, pemberitahuan, atau log audit.
CommCell		Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `backupcv` jika diekstrak dari deskripsi pemberitahuan.
Komputer		Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `backupcv` jika diekstrak dari log peristiwa.
Deskripsi	security_result.description	Dipetakan dari kolom `Description` di log peristiwa atau kolom `event_description` yang diuraikan dari kolom `Alertdescription` di log pemberitahuan. Jika kolom `Description` berisi `A suspicious file`, kolom tersebut akan ditimpa dengan `A suspicious file is Detected`.
Detail		Digunakan untuk mengekstrak kolom `Client` menggunakan grok.
durasi		Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke durasi yang diekstrak dari deskripsi peristiwa.
Eventid	metadata.product_log_id	Dipetakan langsung dari kolom `Eventid` di log peristiwa.
Eventseverity	security_result.severity	Dipetakan dari kolom `Eventseverity` di log peristiwa. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
file_name	security_result.detection_fields.SuspiciousFileName.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
Jobid	principal.process.pid	Langsung dipetakan dari kolom `Jobid` di log peristiwa atau pemberitahuan.
media_agent	security_result.detection_fields.MediaAgent.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_created	security_result.detection_fields.no_of_files_created.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_deleted	security_result.detection_fields.no_of_files_deleted.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_modified	security_result.detection_fields.no_of_files_modified.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
no_of_files_renamed	security_result.detection_fields.no_of_files_renamed.value	Diekstrak dari kolom `Alertdescription` di log pemberitahuan menggunakan grok.
Occurrencetime	metadata.event_timestamp	Diurai dari kolom `Occurrencetime` dalam log peristiwa dan dikonversi menjadi stempel waktu.
Operasi	security_result.detection_fields.Operation.value	Dipetakan langsung dari kolom `Operation` di log audit.
Opid	security_result.detection_fields.Opid.value	Dipetakan langsung dari kolom `Opid` di log audit.
Program	principal.application	Dipetakan langsung dari kolom `Program` di log peristiwa.
Severitylevel	security_result.severity	Dipetakan dari kolom `Severitylevel` di log audit. Diterjemahkan ke tingkat keparahan UDM (INFORMASI, TINGGI, RENDAH, KRITIS).
Jenis	security_result.detection_fields.Type.value	Dipetakan langsung dari kolom `Type` yang diekstrak dari kolom `Alertdescription` di log pemberitahuan.
url	network.http.referral_url	Dipetakan langsung dari kolom `url` yang diekstrak dari kolom `Alertdescription` di log pemberitahuan.
Nama pengguna	principal.user.userid	Dipetakan langsung dari kolom `Username` di log audit. Jika nama penggunanya adalah `Administrator`, kolom `principal.user.user_role` akan ditetapkan ke `ADMINISTRATOR`.
-	metadata.vendor_name	Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `COMMVAULT`.
-	metadata.product_name	Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `COMMVAULT_COMMCELL`.
-	metadata.log_type	Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `COMMVAULT_COMMCELL`.
-	metadata.event_type	Kolom UDM ini tidak berasal dari log mentah. Nilai ini ditetapkan ke `STATUS_UPDATE` jika kolom `Client` ada, jika tidak, ditetapkan ke `GENERIC_EVENT`.

Perubahan

24-01-2024

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.