Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Kaspersky AV

Didukung di:

Google secops Siem

Dokumen ini menjelaskan cara menyerap log Kaspersky Antivirus ke Google Security Operations menggunakan Bindplane. Kode parser pertama-tama mencoba menguraikan pesan log mentah sebagai JSON. Jika gagal, ekspresi reguler (pola grok) akan digunakan untuk mengekstrak kolom dari pesan berdasarkan format log AV Kaspersky yang umum.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika berjalan di belakang proxy, port firewall terbuka
Akses dengan hak istimewa ke Kaspersky Antivirus

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
- Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"

    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: KASPERSKY_AV
                raw_log_field: body

    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi ekspor peristiwa di Kaspersky AV

Login ke konsol Kaspersky Security Center.
Pilih Server Administrasi yang peristiwanya ingin Anda ekspor.
Di ruang kerja Administration Server, klik tab Events.
Klik link Konfigurasi notifikasi dan ekspor peristiwa.
Pilih Konfigurasikan ekspor ke sistem SIEM dalam daftar.
Berikan detail konfigurasi berikut:
- Sistem SIEM: Pilih Arcsight (format CEF).
- Alamat server sistem SIEM: Masukkan alamat IP agen Bindplane.
- Port server sistem SIEM: Masukkan nomor port agen Bindplane (misalnya, 514 untuk UDP).
- Protocol: Pilih UDP.
Klik OK.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
Aplikasi	network.http.user_agent	Dipetakan langsung dari kolom `Application` dalam log mentah.
Jalur aplikasi	target.process.file.full_path	Digunakan dengan kolom `Name` untuk membuat jalur lengkap jika `Application path` ada dalam log mentah.
Komponen	target.resource.name	Dipetakan langsung dari kolom `Component` dalam log mentah.
Kategori konten	security_result.category_details	Ditambahkan ke kolom `security_result.category_details` jika `Content category` ada dalam log mentah.
Sumber kategori konten	target.resource.type	Jika nilai berisi `databases`, kolom UDM akan ditetapkan ke `DATABASE`.
Erreur	security_result.summary	Dipetakan langsung dari kolom `Erreur` dalam log mentah jika kolom `summary` kosong.
et	metadata.product_event_type	Dipetakan langsung dari kolom `et` dalam log mentah jika kolom `product_event_type` kosong.
et	security_result.category_details	Ditambahkan ke kolom `security_result.category_details`.
etdn	extensions.vulns.vulnerabilities.description	Dipetakan langsung dari kolom `etdn` dalam log mentah.
Hash SHA256 file	target.process.file.sha256	Dipetakan langsung dari kolom `File SHA256 hash` dalam log mentah.
gn	security_result.about.labels	`key` ditetapkan ke `GN` dan `value` ditetapkan ke nilai kolom `gn`.
hdn	principal.hostname	Dipetakan langsung dari kolom `hdn` dalam log mentah.
pinggul	principal.ip	Dipetakan langsung dari kolom `hip` dalam log mentah.
host_name	principal.hostname	Dipetakan langsung dari kolom `host_name` dalam log mentah.
intermediary_host	intermediary.hostname	Dipetakan langsung dari kolom `intermediary_host` dalam log mentah.
intermediary_hostname	intermediary.hostname	Dipetakan langsung dari kolom `intermediary_hostname` dalam log mentah.
kv_data1		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
kv_data2		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
label	network.http.user_agent	Jika nilainya adalah `User-Agent`, kolom UDM akan diisi dengan nilai kolom `description`.
label	principal.hostname	Jika nilainya `Host`, kolom UDM akan diisi dengan nama host yang diekstrak dari kolom `description`.
label	security_result.description	Untuk nilai lainnya, kolom UDM diisi dengan string yang berisi kolom `label` dan `description`.
MD5	target.process.file.md5	Dipetakan langsung dari kolom `MD5` dalam log mentah setelah dikonversi ke huruf kecil.
Hash file MD5	target.process.file.md5	Dipetakan langsung dari kolom `MD5 file hash` dalam log mentah.
pesan		Kolom ini diuraikan dan nilainya dipetakan ke kolom UDM lainnya.
metode	network.http.method	Dipetakan langsung dari kolom `method` dalam log mentah jika cocok dengan daftar metode HTTP.
nama	target.file.full_path	Dipetakan langsung dari kolom `name` dalam log mentah.
Nom	target.process.file.full_path	Digunakan dengan kolom `application_path` untuk membuat jalur lengkap.
p1	target.process.file.sha256	Dipetakan langsung dari kolom `p1` dalam log mentah setelah mengonversinya ke huruf kecil jika kolom `SHA256` kosong dan nilainya adalah string heksadesimal.
p2	target.process.file.full_path	Dipetakan langsung dari kolom `p2` dalam log mentah.
p5	security_result.rule_name	Dipetakan langsung dari kolom `p5` dalam log mentah.
p7	principal.user.user_display_name	Dipetakan langsung dari kolom `p7` dalam log mentah jika kolom `User` dan `user_name` kosong.
ID proses	principal.process.pid	Dipetakan langsung dari kolom `Process ID` dalam log mentah.
process_id	target.process.pid	Dipetakan langsung dari kolom `process_id` dalam log mentah.
protokol	network.application_protocol	Jika nilainya berisi `http` (tidak peka huruf besar/kecil), kolom UDM akan ditetapkan ke `HTTP`.
Alasan	security_result.summary	Dipetakan langsung dari kolom `Reason` dalam log mentah.
Halaman web yang diminta	target.url	Dipetakan langsung dari kolom `Requested web page` dalam log mentah.
Hasil		Jika nilainya adalah `Allowed`, kolom `sr_action` akan ditetapkan ke `ALLOW`.
rtid	security_result.about.labels	`key` ditetapkan ke `rtid` dan `value` ditetapkan ke nilai kolom `rtid`.
Aturan	security_result.description	Dipetakan langsung dari kolom `Rule` dalam log mentah.
SHA256	target.process.file.sha256	Dipetakan langsung dari kolom `SHA256` dalam log mentah setelah dikonversi ke huruf kecil.
sr_action	security_result.action	Digabung ke dalam kolom `security_result.action`.
ringkasan	security_result.summary	Dipetakan langsung dari kolom `summary` dalam log mentah.
task_name	security_result.about.labels	`key` ditetapkan ke `TaskName` dan `value` ditetapkan ke nilai kolom `task_name`.
threat_action_taken		Jika nilainya adalah `blocked`, kolom `security_action` akan ditetapkan ke `BLOCK`. Jika nilainya adalah `allowed`, kolom `security_action` akan ditetapkan ke `ALLOW`.
timestamp	metadata.event_timestamp	Digunakan untuk mengisi stempel waktu peristiwa.
Jenis	security_result.threat_name	Dipetakan langsung dari kolom `Type` dalam log mentah.
URL	network.http.referral_url	Dipetakan langsung dari kolom `url` dalam log mentah.
Pengguna	principal.user.user_display_name	Nama pengguna diekstrak dari kolom ini dan dipetakan ke kolom UDM.
Pengguna	principal.administrative_domain	Domain diekstrak dari kolom ini dan dipetakan ke kolom UDM.
user_name	principal.user.user_display_name	Dipetakan langsung dari kolom `user_name` dalam log mentah jika kolom `User` kosong.
	metadata.event_type	Tetapkan ke `SCAN_VULN_NETWORK` jika `Application path` dan `Name` ada, `STATUS_UNCATEGORIZED` jika `hdn` atau `host_name` ada, atau `GENERIC_EVENT` jika tidak.
	metadata.vendor_name	Selalu ditetapkan ke `KASPERSKY`.
	metadata.product_name	Selalu ditetapkan ke `KASPERSKY_AV`.
	metadata.log_type	Selalu ditetapkan ke `KASPERSKY_AV`.

Perubahan

2025-02-13

Peningkatan:

Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.

2025-02-05

Peningkatan:

Menambahkan dukungan untuk mengurai log CEF yang tidak diuraikan.

2023-10-13

Peningkatan:

Memetakan Hachage SHA256, p1 ke target.process.file.sha256.
Memetakan Hachage MD5, md5 ke target.process.file.md5.
Memetakan intermediary ke event.idm.read_only_udm.intermediary.

2022-10-14

Peningkatan:

Menambahkan gsub untuk mengabaikan karakter khusus yang tidak diinginkan.

2022-05-17

Peningkatan:

Menambahkan pemetaan untuk kolom berikut
Nom (nama proses/aplikasi) (Nama) dipetakan ke target.file.full_path (ekstensi).
Chemin de l'application (Jalur aplikasi) dipetakan ke target.file.full_path.
Type d'événement (Jenis peristiwa) dipetakan ke metadata.product_event_type.
ID du processus (ID proses) dipetakan ke target.process.pid.
Description du résultat (Deskripsi hasil) dipetakan ke metadata.description.
Erreur (Error) dipetakan ke security_result.summary.

2022-03-29

Peningkatan:

Menambahkan pemetaan untuk kolom berikut yang tidak ada:
Memetakan Result description ke security_result.description.
Memetakan Type ke security_result.threat_name.
Memetakan MD5 ke process.file.md5.
Memetakan SHA256 ke process.file.sha256.
Memetakan p2 ke target.process.file.full_path.
Memetakan p5 ke security_result.rule_name.
Memetakan p7 ke principal.user.user_display_name.
Memetakan Reason ke security_result.summary.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.