Mengumpulkan log Kaspersky AV
Dokumen ini menjelaskan cara menyerap log Kaspersky Antivirus ke Google Security Operations menggunakan Bindplane. Kode parser pertama-tama mencoba menguraikan pesan log mentah sebagai JSON. Jika gagal, ekspresi reguler (pola grok
) akan digunakan untuk mengekstrak kolom dari pesan berdasarkan format log AV Kaspersky yang umum.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru atau host Linux dengan systemd
- Jika berjalan di belakang proxy, port firewall terbuka
- Akses dengan hak istimewa ke Kaspersky Antivirus
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps
Akses file konfigurasi:
- Temukan file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Temukan file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: KASPERSKY_AV raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi ekspor peristiwa di Kaspersky AV
- Login ke konsol Kaspersky Security Center.
- Pilih Server Administrasi yang peristiwanya ingin Anda ekspor.
- Di ruang kerja Administration Server, klik tab Events.
- Klik link Konfigurasi notifikasi dan ekspor peristiwa.
- Pilih Konfigurasikan ekspor ke sistem SIEM dalam daftar.
- Berikan detail konfigurasi berikut:
- Sistem SIEM: Pilih Arcsight (format CEF).
- Alamat server sistem SIEM: Masukkan alamat IP agen Bindplane.
- Port server sistem SIEM: Masukkan nomor port agen Bindplane (misalnya,
514
untuk UDP). - Protocol: Pilih UDP.
- Klik OK.
Tabel pemetaan UDM
Kolom log | Pemetaan UDM | Logika |
---|---|---|
Aplikasi | network.http.user_agent | Dipetakan langsung dari kolom Application dalam log mentah. |
Jalur aplikasi | target.process.file.full_path | Digunakan dengan kolom Name untuk membuat jalur lengkap jika Application path ada dalam log mentah. |
Komponen | target.resource.name | Dipetakan langsung dari kolom Component dalam log mentah. |
Kategori konten | security_result.category_details | Ditambahkan ke kolom security_result.category_details jika Content category ada dalam log mentah. |
Sumber kategori konten | target.resource.type | Jika nilai berisi databases , kolom UDM akan ditetapkan ke DATABASE . |
Erreur | security_result.summary | Dipetakan langsung dari kolom Erreur dalam log mentah jika kolom summary kosong. |
et | metadata.product_event_type | Dipetakan langsung dari kolom et dalam log mentah jika kolom product_event_type kosong. |
et | security_result.category_details | Ditambahkan ke kolom security_result.category_details . |
etdn | extensions.vulns.vulnerabilities.description | Dipetakan langsung dari kolom etdn dalam log mentah. |
Hash SHA256 file | target.process.file.sha256 | Dipetakan langsung dari kolom File SHA256 hash dalam log mentah. |
gn | security_result.about.labels | key ditetapkan ke GN dan value ditetapkan ke nilai kolom gn . |
hdn | principal.hostname | Dipetakan langsung dari kolom hdn dalam log mentah. |
pinggul | principal.ip | Dipetakan langsung dari kolom hip dalam log mentah. |
host_name | principal.hostname | Dipetakan langsung dari kolom host_name dalam log mentah. |
intermediary_host | intermediary.hostname | Dipetakan langsung dari kolom intermediary_host dalam log mentah. |
intermediary_hostname | intermediary.hostname | Dipetakan langsung dari kolom intermediary_hostname dalam log mentah. |
kv_data1 | Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya. | |
kv_data2 | Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya. | |
label | network.http.user_agent | Jika nilainya adalah User-Agent , kolom UDM akan diisi dengan nilai kolom description . |
label | principal.hostname | Jika nilainya Host , kolom UDM akan diisi dengan nama host yang diekstrak dari kolom description . |
label | security_result.description | Untuk nilai lainnya, kolom UDM diisi dengan string yang berisi kolom label dan description . |
MD5 | target.process.file.md5 | Dipetakan langsung dari kolom MD5 dalam log mentah setelah dikonversi ke huruf kecil. |
Hash file MD5 | target.process.file.md5 | Dipetakan langsung dari kolom MD5 file hash dalam log mentah. |
pesan | Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya. | |
metode | network.http.method | Dipetakan langsung dari kolom method dalam log mentah jika cocok dengan daftar metode HTTP. |
nama | target.file.full_path | Dipetakan langsung dari kolom name dalam log mentah. |
Nom | target.process.file.full_path | Digunakan dengan kolom application_path untuk membuat jalur lengkap. |
p1 | target.process.file.sha256 | Dipetakan langsung dari kolom p1 dalam log mentah setelah mengonversinya ke huruf kecil jika kolom SHA256 kosong dan nilainya adalah string heksadesimal. |
p2 | target.process.file.full_path | Dipetakan langsung dari kolom p2 dalam log mentah. |
p5 | security_result.rule_name | Dipetakan langsung dari kolom p5 dalam log mentah. |
p7 | principal.user.user_display_name | Dipetakan langsung dari kolom p7 dalam log mentah jika kolom User dan user_name kosong. |
ID proses | principal.process.pid | Dipetakan langsung dari kolom Process ID dalam log mentah. |
process_id | target.process.pid | Dipetakan langsung dari kolom process_id dalam log mentah. |
protokol | network.application_protocol | Jika nilainya berisi http (tidak peka huruf besar/kecil), kolom UDM akan ditetapkan ke HTTP . |
Alasan | security_result.summary | Dipetakan langsung dari kolom Reason dalam log mentah. |
Halaman web yang diminta | target.url | Dipetakan langsung dari kolom Requested web page dalam log mentah. |
Hasil | Jika nilainya adalah Allowed , kolom sr_action akan ditetapkan ke ALLOW . |
|
rtid | security_result.about.labels | key ditetapkan ke rtid dan value ditetapkan ke nilai kolom rtid . |
Aturan | security_result.description | Dipetakan langsung dari kolom Rule dalam log mentah. |
SHA256 | target.process.file.sha256 | Dipetakan langsung dari kolom SHA256 dalam log mentah setelah dikonversi ke huruf kecil. |
sr_action | security_result.action | Digabung ke dalam kolom security_result.action . |
ringkasan | security_result.summary | Dipetakan langsung dari kolom summary dalam log mentah. |
task_name | security_result.about.labels | key ditetapkan ke TaskName dan value ditetapkan ke nilai kolom task_name . |
threat_action_taken | Jika nilainya adalah blocked , kolom security_action akan ditetapkan ke BLOCK . Jika nilainya adalah allowed , kolom security_action akan ditetapkan ke ALLOW . |
|
timestamp | metadata.event_timestamp | Digunakan untuk mengisi stempel waktu peristiwa. |
Jenis | security_result.threat_name | Dipetakan langsung dari kolom Type dalam log mentah. |
URL | network.http.referral_url | Dipetakan langsung dari kolom url dalam log mentah. |
Pengguna | principal.user.user_display_name | Nama pengguna diekstrak dari kolom ini dan dipetakan ke kolom UDM. |
Pengguna | principal.administrative_domain | Domain diekstrak dari kolom ini dan dipetakan ke kolom UDM. |
user_name | principal.user.user_display_name | Dipetakan langsung dari kolom user_name dalam log mentah jika kolom User kosong. |
metadata.event_type | Tetapkan ke SCAN_VULN_NETWORK jika Application path dan Name ada, STATUS_UNCATEGORIZED jika hdn atau host_name ada, atau GENERIC_EVENT jika tidak. |
|
metadata.vendor_name | Selalu ditetapkan ke KASPERSKY . |
|
metadata.product_name | Selalu ditetapkan ke KASPERSKY_AV . |
|
metadata.log_type | Selalu ditetapkan ke KASPERSKY_AV . |
Perubahan
2025-02-13
Peningkatan:
- Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.
2025-02-05
Peningkatan:
- Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.
2023-10-13
Peningkatan:
- Memetakan
Hachage SHA256
,p1
ketarget.process.file.sha256
. - Memetakan
Hachage MD5
,md5
ketarget.process.file.md5
. - Memetakan
intermediary
keevent.idm.read_only_udm.intermediary
.
2022-10-14
Peningkatan:
- Menambahkan gsub untuk mengabaikan karakter khusus yang tidak diinginkan.
2022-05-17
Peningkatan:
- Menambahkan pemetaan untuk kolom berikut
- Nom (nama proses/aplikasi) (Nama) dipetakan ke target.file.full_path (ekstensi).
- Chemin de l'application (Jalur aplikasi) dipetakan ke target.file.full_path.
- Type d'événement (Jenis peristiwa) dipetakan ke metadata.product_event_type.
- ID du processus (ID proses) dipetakan ke target.process.pid.
- Description du résultat (Deskripsi hasil) dipetakan ke metadata.description.
- Erreur (Error) dipetakan ke security_result.summary.
2022-03-29
Peningkatan:
- Menambahkan pemetaan untuk kolom berikut yang tidak ada:
- Memetakan
Result description
kesecurity_result.description
. - Memetakan
Type
kesecurity_result.threat_name
. - Memetakan
MD5
keprocess.file.md5
. - Memetakan
SHA256
keprocess.file.sha256
. - Memetakan
p2
ketarget.process.file.full_path
. - Memetakan
p5
kesecurity_result.rule_name
. - Memetakan
p7
keprincipal.user.user_display_name
. - Memetakan
Reason
kesecurity_result.summary
.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.