收集 Kaspersky AV 記錄

本文說明如何使用 Bindplane 將 Kaspersky Antivirus 記錄匯入 Google Security Operations。剖析器程式碼會先嘗試將原始記錄訊息剖析為 JSON。如果失敗，就會使用規則運算式 (grok 模式)，根據常見的 Kaspersky AV 記錄格式從訊息中擷取欄位。

事前準備

請確認您已完成下列事前準備：

• Google SecOps 執行個體
• Windows 2016 以上版本或 Linux 主機 (使用 systemd)
• 如果在 Proxy 後方執行，防火牆通訊埠會開啟
• 取得 Kaspersky Antivirus 的特殊存取權

取得 Google SecOps 擷取驗證檔案

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「收集代理程式」。
3. 下載擷取驗證檔案。將檔案安全地儲存在將安裝 Bindplane 的系統中。

取得 Google SecOps 客戶 ID

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「設定檔」。
3. 複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

1. 以系統管理員身分開啟命令提示字元或 PowerShell。

2. 執行下列指令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安裝

1. 開啟具有 root 或 sudo 權限的終端機。

2. 執行下列指令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，以便擷取系統記錄檔並傳送至 Google SecOps

1. 存取設定檔：

   • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄或 Windows 的安裝目錄。
   • 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

2. 按照下列方式編輯 config.yaml 檔案：

       receivers:
           udplog:
               # Replace the port and IP address as required
               listen_address: "0.0.0.0:514"
   
       exporters:
           chronicle/chronicle_w_labels:
               compression: gzip
               # Adjust the path to the credentials file you downloaded in Step 1
               creds: '/path/to/ingestion-authentication-file.json'
               # Replace with your actual customer ID from Step 2
               customer_id: <customer_id>
               endpoint: malachiteingestion-pa.googleapis.com
               # Add optional ingestion labels for better organization
               ingestion_labels:
                   log_type: KASPERSKY_AV
                   raw_log_field: body
   
       service:
           pipelines:
               logs/source0__chronicle_w_labels-0:
                   receivers:
                       - udplog
                   exporters:
                       - chronicle/chronicle_w_labels
   

3. 視基礎架構需求替換通訊埠和 IP 位址。

4. 將 <customer_id> 替換為實際的客戶 ID。

5. 在「取得 Google SecOps 攝入驗證檔案」部分，將 /path/to/ingestion-authentication-file.json 更新為驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式以套用變更

• 如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

  sudo systemctl restart bindplane-agent
  

• 如要在 Windows 中重新啟動 Bindplane 代理程式，您可以使用「Services」主控台，或輸入下列指令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

在 Kaspersky AV 中設定事件匯出功能

1. 登入 Kaspersky Security Center 主控台。
2. 選取要匯出事件的管理伺服器。
3. 在「Administration Server」工作區中，按一下「Events」分頁。
4. 按一下「設定通知和事件匯出」連結。
5. 在清單中選取「Configure export to SIEM system」。
6. 提供下列設定詳細資料：
   • SIEM 系統：選取「ArcSight (CEF 格式)」。
   • SIEM 系統伺服器位址：輸入 Bindplane 代理程式 IP 位址。
   • SIEM 系統伺服器通訊埠：輸入 Bindplane 代理程式通訊埠編號 (例如 UDP 的 514)。
   • 通訊協定：選取「UDP」。
7. 按一下「確定」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
應用程式	network.http.user_agent	直接從原始記錄中的 Application 欄位對應。
應用程式路徑	target.process.file.full_path	如果原始記錄中含有 Application path，則可與 Name 欄位搭配使用，以建立完整路徑。
元件	target.resource.name	直接從原始記錄中的 Component 欄位對應。
內容類別	security_result.category_details	如果原始記錄檔中含有 Content category，就會加入 security_result.category_details 欄位。
內容類別來源	target.resource.type	如果值包含 databases，則 UDM 欄位會設為 DATABASE。
Erreur	security_result.summary	如果 summary 欄位為空白，則直接從原始記錄檔中的 Erreur 欄位對應。
et	metadata.product_event_type	如果 product_event_type 欄位為空白，則直接從原始記錄檔中的 et 欄位對應。
et	security_result.category_details	已新增至 security_result.category_details 欄位。
etdn	extensions.vulns.vulnerabilities.description	直接從原始記錄中的 etdn 欄位對應。
檔案 SHA256 雜湊	target.process.file.sha256	直接從原始記錄中的 File SHA256 hash 欄位對應。
gn	security_result.about.labels	key 設為 GN，value 設為 gn 欄位的值。
hdn	principal.hostname	直接從原始記錄中的 hdn 欄位對應。
臀部	principal.ip	直接從原始記錄中的 hip 欄位對應。
host_name	principal.hostname	直接從原始記錄中的 host_name 欄位對應。
intermediary_host	intermediary.hostname	直接從原始記錄中的 intermediary_host 欄位對應。
intermediary_hostname	intermediary.hostname	直接從原始記錄中的 intermediary_hostname 欄位對應。
kv_data1		系統會剖析這個欄位，並將其值對應至其他 UDM 欄位。
kv_data2		系統會剖析這個欄位，並將其值對應至其他 UDM 欄位。
標籤	network.http.user_agent	如果值為 User-Agent，UDM 欄位會填入 description 欄位的值。
標籤	principal.hostname	如果值為 Host，UDM 欄位會填入從 description 欄位擷取的主機名稱。
標籤	security_result.description	對於其他值，UDM 欄位會填入包含 label 和 description 欄位的字串。
MD5	target.process.file.md5	將原始記錄中的 MD5 欄位轉換為小寫後，直接對應。
MD5 檔案雜湊	target.process.file.md5	直接從原始記錄中的 MD5 file hash 欄位對應。
訊息		系統會剖析這個欄位，並將其值對應至其他 UDM 欄位。
方法	network.http.method	如果原始記錄中的 method 欄位與 HTTP 方法清單相符，則直接對應。
名稱	target.file.full_path	直接從原始記錄中的 name 欄位對應。
Nom	target.process.file.full_path	與 application_path 欄位搭配使用，用於建構完整路徑。
p1	target.process.file.sha256	如果 SHA256 欄位為空白，且值為十六進位字串，則會直接從原始記錄中的 p1 欄位進行對應，並將其轉換為小寫。
p2	target.process.file.full_path	直接從原始記錄中的 p2 欄位對應。
第 5 個百分位數	security_result.rule_name	直接從原始記錄中的 p5 欄位對應。
p7	principal.user.user_display_name	如果 User 和 user_name 欄位為空白，則直接從原始記錄檔中的 p7 欄位對應。
程序 ID	principal.process.pid	直接從原始記錄中的 Process ID 欄位對應。
process_id	target.process.pid	直接從原始記錄中的 process_id 欄位對應。
通訊協定	network.application_protocol	如果值含有 http (不區分大小寫)，則 UDM 欄位會設為 HTTP。
原因	security_result.summary	直接從原始記錄中的 Reason 欄位對應。
要求的網頁	target.url	直接從原始記錄中的 Requested web page 欄位對應。
結果		如果值為 Allowed，sr_action 欄位會設為 ALLOW。
rtid	security_result.about.labels	key 設為 rtid，value 設為 rtid 欄位的值。
規則	security_result.description	直接從原始記錄中的 Rule 欄位對應。
SHA256	target.process.file.sha256	將原始記錄中的 SHA256 欄位轉換為小寫後，直接對應。
sr_action	security_result.action	已合併至 security_result.action 欄位。
摘要	security_result.summary	直接從原始記錄中的 summary 欄位對應。
task_name	security_result.about.labels	key 設為 TaskName，value 設為 task_name 欄位的值。
threat_action_taken		如果值為 blocked，security_action 欄位會設為 BLOCK。如果值為 allowed，security_action 欄位會設為 ALLOW。
時間戳記	metadata.event_timestamp	用於填入事件時間戳記。
類型	security_result.threat_name	直接從原始記錄中的 Type 欄位對應。
網址	network.http.referral_url	直接從原始記錄中的 url 欄位對應。
使用者	principal.user.user_display_name	系統會從這個欄位擷取使用者名稱，並對應至 UDM 欄位。
使用者	principal.administrative_domain	系統會從這個欄位擷取網域，並對應至 UDM 欄位。
user_name	principal.user.user_display_name	如果 User 欄位為空白，則直接從原始記錄檔中的 user_name 欄位對應。
	metadata.event_type	如果 Application path 和 Name 存在，請設為 SCAN_VULN_NETWORK；如果 hdn 或 host_name 存在，請設為 STATUS_UNCATEGORIZED；如果不存在，請設為 GENERIC_EVENT。
	metadata.vendor_name	一律設為 KASPERSKY。
	metadata.product_name	一律設為 KASPERSKY_AV。
	metadata.log_type	一律設為 KASPERSKY_AV。

異動

2025-02-13

改善項目：

• 新增剖析未剖析的 CEF 記錄的支援功能。

2025-02-05

改善項目：

• 新增剖析未剖析的 CEF 記錄的支援功能。

2023-10-13

改善項目：

• 已將 Hachage SHA256、p1 對應至 target.process.file.sha256。
• 已將 Hachage MD5、md5 對應至 target.process.file.md5。
• 已將 intermediary 對應至 event.idm.read_only_udm.intermediary。

2022-10-14

改善項目：

• 新增 gsub 以略過不必要的特殊字元。

2022-05-17

改善項目：

• 新增下列欄位的對應
• Nom (程序/應用程式名稱) (名稱) 對應至 target.file.full_path (副檔名)。
• Chemin de l'application (應用程式路徑) 已對應至 target.file.full_path。
• 輸入 d'événement (事件類型)，並對應至 metadata.product_event_type。
• ID du processus (程序 ID) 對應至 target.process.pid。
• Description du résultat (結果說明) 對應至 metadata.description。
• Erreur (錯誤) 對應至 security_result.summary。

2022-03-29

改善項目：

• 新增下列缺少欄位的對應項目：
• 已將 Result description 對應至 security_result.description。
• 已將 Type 對應至 security_result.threat_name。
• 已將 MD5 對應至 process.file.md5。
• 已將 SHA256 對應至 process.file.sha256。
• 已將 p2 對應至 target.process.file.full_path。
• 已將 p5 對應至 security_result.rule_name。
• 已將 p7 對應至 principal.user.user_display_name。
• 已將 Reason 對應至 security_result.summary。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。