Mengumpulkan log Kaspersky AV

Didukung di:

Dokumen ini menjelaskan cara menyerap log Kaspersky Antivirus ke Google Security Operations menggunakan Bindplane. Kode parser pertama-tama mencoba menguraikan pesan log mentah sebagai JSON. Jika gagal, ekspresi reguler (pola grok) akan digunakan untuk mengekstrak kolom dari pesan berdasarkan format log AV Kaspersky yang umum.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru atau host Linux dengan systemd
  • Jika berjalan di belakang proxy, port firewall terbuka
  • Akses dengan hak istimewa ke Kaspersky Antivirus

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.
  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.
  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses file konfigurasi:

    • Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).
  2. Edit file config.yaml sebagai berikut:

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"
    
        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: KASPERSKY_AV
                    raw_log_field: body
    
        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels
    
  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent
    
  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Mengonfigurasi ekspor peristiwa di Kaspersky AV

  1. Login ke konsol Kaspersky Security Center.
  2. Pilih Server Administrasi yang peristiwanya ingin Anda ekspor.
  3. Di ruang kerja Administration Server, klik tab Events.
  4. Klik link Konfigurasi notifikasi dan ekspor peristiwa.
  5. Pilih Konfigurasikan ekspor ke sistem SIEM dalam daftar.
  6. Berikan detail konfigurasi berikut:
    • Sistem SIEM: Pilih Arcsight (format CEF).
    • Alamat server sistem SIEM: Masukkan alamat IP agen Bindplane.
    • Port server sistem SIEM: Masukkan nomor port agen Bindplane (misalnya, 514 untuk UDP).
    • Protocol: Pilih UDP.
  7. Klik OK.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
Aplikasi network.http.user_agent Dipetakan langsung dari kolom Application dalam log mentah.
Jalur aplikasi target.process.file.full_path Digunakan dengan kolom Name untuk membuat jalur lengkap jika Application path ada dalam log mentah.
Komponen target.resource.name Dipetakan langsung dari kolom Component dalam log mentah.
Kategori konten security_result.category_details Ditambahkan ke kolom security_result.category_details jika Content category ada dalam log mentah.
Sumber kategori konten target.resource.type Jika nilai berisi databases, kolom UDM akan ditetapkan ke DATABASE.
Erreur security_result.summary Dipetakan langsung dari kolom Erreur dalam log mentah jika kolom summary kosong.
et metadata.product_event_type Dipetakan langsung dari kolom et dalam log mentah jika kolom product_event_type kosong.
et security_result.category_details Ditambahkan ke kolom security_result.category_details.
etdn extensions.vulns.vulnerabilities.description Dipetakan langsung dari kolom etdn dalam log mentah.
Hash SHA256 file target.process.file.sha256 Dipetakan langsung dari kolom File SHA256 hash dalam log mentah.
gn security_result.about.labels key ditetapkan ke GN dan value ditetapkan ke nilai kolom gn.
hdn principal.hostname Dipetakan langsung dari kolom hdn dalam log mentah.
pinggul principal.ip Dipetakan langsung dari kolom hip dalam log mentah.
host_name principal.hostname Dipetakan langsung dari kolom host_name dalam log mentah.
intermediary_host intermediary.hostname Dipetakan langsung dari kolom intermediary_host dalam log mentah.
intermediary_hostname intermediary.hostname Dipetakan langsung dari kolom intermediary_hostname dalam log mentah.
kv_data1 Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
kv_data2 Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
label network.http.user_agent Jika nilainya adalah User-Agent, kolom UDM akan diisi dengan nilai kolom description.
label principal.hostname Jika nilainya Host, kolom UDM akan diisi dengan nama host yang diekstrak dari kolom description.
label security_result.description Untuk nilai lainnya, kolom UDM diisi dengan string yang berisi kolom label dan description.
MD5 target.process.file.md5 Dipetakan langsung dari kolom MD5 dalam log mentah setelah dikonversi ke huruf kecil.
Hash file MD5 target.process.file.md5 Dipetakan langsung dari kolom MD5 file hash dalam log mentah.
pesan Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
metode network.http.method Dipetakan langsung dari kolom method dalam log mentah jika cocok dengan daftar metode HTTP.
nama target.file.full_path Dipetakan langsung dari kolom name dalam log mentah.
Nom target.process.file.full_path Digunakan dengan kolom application_path untuk membuat jalur lengkap.
p1 target.process.file.sha256 Dipetakan langsung dari kolom p1 dalam log mentah setelah mengonversinya ke huruf kecil jika kolom SHA256 kosong dan nilainya adalah string heksadesimal.
p2 target.process.file.full_path Dipetakan langsung dari kolom p2 dalam log mentah.
p5 security_result.rule_name Dipetakan langsung dari kolom p5 dalam log mentah.
p7 principal.user.user_display_name Dipetakan langsung dari kolom p7 dalam log mentah jika kolom User dan user_name kosong.
ID proses principal.process.pid Dipetakan langsung dari kolom Process ID dalam log mentah.
process_id target.process.pid Dipetakan langsung dari kolom process_id dalam log mentah.
protokol network.application_protocol Jika nilainya berisi http (tidak peka huruf besar/kecil), kolom UDM akan ditetapkan ke HTTP.
Alasan security_result.summary Dipetakan langsung dari kolom Reason dalam log mentah.
Halaman web yang diminta target.url Dipetakan langsung dari kolom Requested web page dalam log mentah.
Hasil Jika nilainya adalah Allowed, kolom sr_action akan ditetapkan ke ALLOW.
rtid security_result.about.labels key ditetapkan ke rtid dan value ditetapkan ke nilai kolom rtid.
Aturan security_result.description Dipetakan langsung dari kolom Rule dalam log mentah.
SHA256 target.process.file.sha256 Dipetakan langsung dari kolom SHA256 dalam log mentah setelah dikonversi ke huruf kecil.
sr_action security_result.action Digabung ke dalam kolom security_result.action.
ringkasan security_result.summary Dipetakan langsung dari kolom summary dalam log mentah.
task_name security_result.about.labels key ditetapkan ke TaskName dan value ditetapkan ke nilai kolom task_name.
threat_action_taken Jika nilainya adalah blocked, kolom security_action akan ditetapkan ke BLOCK. Jika nilainya adalah allowed, kolom security_action akan ditetapkan ke ALLOW.
timestamp metadata.event_timestamp Digunakan untuk mengisi stempel waktu peristiwa.
Jenis security_result.threat_name Dipetakan langsung dari kolom Type dalam log mentah.
URL network.http.referral_url Dipetakan langsung dari kolom url dalam log mentah.
Pengguna principal.user.user_display_name Nama pengguna diekstrak dari kolom ini dan dipetakan ke kolom UDM.
Pengguna principal.administrative_domain Domain diekstrak dari kolom ini dan dipetakan ke kolom UDM.
user_name principal.user.user_display_name Dipetakan langsung dari kolom user_name dalam log mentah jika kolom User kosong.
metadata.event_type Tetapkan ke SCAN_VULN_NETWORK jika Application path dan Name ada, STATUS_UNCATEGORIZED jika hdn atau host_name ada, atau GENERIC_EVENT jika tidak.
metadata.vendor_name Selalu ditetapkan ke KASPERSKY.
metadata.product_name Selalu ditetapkan ke KASPERSKY_AV.
metadata.log_type Selalu ditetapkan ke KASPERSKY_AV.

Perubahan

2025-02-13

Peningkatan:

  • Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.

2025-02-05

Peningkatan:

  • Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.

2023-10-13

Peningkatan:

  • Memetakan Hachage SHA256, p1 ke target.process.file.sha256.
  • Memetakan Hachage MD5, md5 ke target.process.file.md5.
  • Memetakan intermediary ke event.idm.read_only_udm.intermediary.

2022-10-14

Peningkatan:

  • Menambahkan gsub untuk mengabaikan karakter khusus yang tidak diinginkan.

2022-05-17

Peningkatan:

  • Menambahkan pemetaan untuk kolom berikut
  • Nom (nama proses/aplikasi) (Nama) dipetakan ke target.file.full_path (ekstensi).
  • Chemin de l'application (Jalur aplikasi) dipetakan ke target.file.full_path.
  • Type d'événement (Jenis peristiwa) dipetakan ke metadata.product_event_type.
  • ID du processus (ID proses) dipetakan ke target.process.pid.
  • Description du résultat (Deskripsi hasil) dipetakan ke metadata.description.
  • Erreur (Error) dipetakan ke security_result.summary.

2022-03-29

Peningkatan:

  • Menambahkan pemetaan untuk kolom berikut yang tidak ada:
  • Memetakan Result description ke security_result.description.
  • Memetakan Type ke security_result.threat_name.
  • Memetakan MD5 ke process.file.md5.
  • Memetakan SHA256 ke process.file.sha256.
  • Memetakan p2 ke target.process.file.full_path.
  • Memetakan p5 ke security_result.rule_name.
  • Memetakan p7 ke principal.user.user_display_name.
  • Memetakan Reason ke security_result.summary.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.