ClamAV-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie ClamAV-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

ClamAV ist eine Open-Source-Antiviren-Engine, die zum Erkennen von Trojanern, Viren, Malware und anderen schädlichen Bedrohungen entwickelt wurde. Es bietet Befehlszeilenscans, automatische Aktualisierungen der Signaturdatenbank und unterstützt mehrere Dateiformate, darunter Archive, ausführbare Dateien und Dokumente. ClamAV wird als lokaler Daemon (clamd) oder Befehlszeilenscanner (clamscan) auf Linux-, Unix- und Windows-Systemen ausgeführt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent-Host und dem ClamAV-Server
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
ClamAV ist auf Linux-Endpunkten installiert und wird ausgeführt
Root- oder sudo-Zugriff auf den ClamAV-Server und den Bindplane-Agent-Host

Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienststatus sollte RUNNING lauten.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienststatus sollte active (running) lauten.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten zum Erfassen von Syslog und Senden von Logs an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/clamav:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CLAM_AV
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/clamav_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/clamav

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - listen_address: Auf 0.0.0.0:514 setzen, um an allen Schnittstellen an UDP-Port 514 zu lauschen. Wenn für Port 514 unter Linux Root-Berechtigungen erforderlich sind, verwenden Sie 0.0.0.0:1514 und konfigurieren Sie rsyslog für die Weiterleitung an Port 1514.
- Exporter-Konfiguration:
  - creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch die zuvor abgerufene Kunden-ID.
  - endpoint: Regionale Endpunkt-URL:
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
  - log_type: Auf CLAM_AV gesetzt (genaue Übereinstimmung für den Google SecOps-Parser)
  - ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production)

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:
1. Führen Sie dazu diesen Befehl aus:
```
sudo systemctl restart observiq-otel-collector
```
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
So starten Sie den Bindplane-Agent unter Windows neu:
1. Wählen Sie eine der folgenden Optionen aus:
  - Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Services-Konsole:
    1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
    2. Suchen Sie nach observIQ OpenTelemetry Collector.
    3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

ClamAV-Syslog-Weiterleitung konfigurieren

Syslog-Logging in ClamAV aktivieren

Melden Sie sich mit Root- oder Sudo-Berechtigungen im Linux-System an, auf dem ClamAV ausgeführt wird.
Öffnen Sie die Konfigurationsdatei des ClamAV-Daemons:
```
sudo nano /etc/clamav/clamd.conf
```
Hinweis :Der Speicherort der Konfigurationsdatei kann je nach Distribution variieren. Gängige Standorte sind /etc/clamav/clamd.conf, /etc/clamd.conf oder /usr/local/etc/clamd.conf.
Suchen Sie die Zeile mit #LogSyslog yes oder #LogSyslog true.
Entfernen Sie das Kommentarzeichen #, um die Syslog-Protokollierung zu aktivieren:
```
LogSyslog yes
```
Optional: Syslog-Einrichtung konfigurieren. Suchen Sie die Zeile #LogFacility LOG_LOCAL6 und entfernen Sie die Kommentarzeichen:
```
LogFacility LOG_LOCAL6
```
Hinweis :Die Standardeinrichtung ist LOG_LOCAL6. Bei Bedarf können Sie dies in eine andere Einrichtung wie LOG_LOCAL0 bis LOG_LOCAL7 ändern.
Optional: Aktivieren Sie zusätzliche Protokollierungsoptionen für detailliertere Protokolle:
```
LogTime yes
LogVerbose yes
ExtendedDetectionInfo yes
```
- LogTime: Fügt Log-Nachrichten Zeitstempel hinzu.
- LogVerbose: Aktiviert die ausführliche Protokollierung mit zusätzlichen Details.
- ExtendedDetectionInfo: Enthält Dateigröße und Hash mit Virenerkennungen
Speichern Sie die Datei und schließen Sie sie:

Drücke Ctrl+O, dann Enter und dann Ctrl+X.
Starten Sie den ClamAV-Daemon neu, damit die Änderungen übernommen werden:
```
sudo systemctl restart clamav-daemon
```
Hinweis: Der Dienstname kann je nach Distribution variieren. Wenn der obige Befehl fehlschlägt, probieren Sie clamav-daemon, clamd oder clamd@scan aus.
Prüfen Sie, ob der ClamAV-Daemon ausgeführt wird:
```
sudo systemctl status clamav-daemon
```

rsyslog zum Weiterleiten von ClamAV-Logs konfigurieren

Erstellen Sie eine neue rsyslog-Konfigurationsdatei für die ClamAV-Weiterleitung:
```
sudo nano /etc/rsyslog.d/30-clamav-forward.conf
```
Hinweis: Der Dateiname beginnt mit 30-, damit die Datei nach der Hauptkonfiguration von rsyslog, aber vor den Standardregeln geladen wird.

Fügen Sie die folgende Konfiguration hinzu, um ClamAV-Logs an den Bindplane-Agent weiterzuleiten:

# Forward ClamAV logs (LOG_LOCAL6 facility) to Bindplane agent
if $syslogfacility-text == 'local6' then {
    action(
        type="omfwd"
        protocol="udp"
        target="BINDPLANE_AGENT_IP"
        port="514"
        queue.type="linkedList"
        queue.size="10000"
        action.resumeRetryCount="100"
    )
    stop
}

Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse des Bindplane-Agent-Hosts:
- Wenn Bindplane auf demselben Host wie ClamAV installiert ist, verwenden Sie 127.0.0.1.
- Wenn sich BindPlane auf einem anderen Host befindet, verwenden Sie die IP-Adresse dieses Hosts (z. B. 192.168.1.100).
Wenn Sie Bindplane so konfiguriert haben, dass es an einem anderen Port (z. B. 1514) lauscht, aktualisieren Sie den Parameter port entsprechend.
Speichern Sie die Datei und schließen Sie sie:

Drücke Ctrl+O, dann Enter und dann Ctrl+X.
Syntax der rsyslog-Konfiguration validieren:
```
sudo rsyslogd -N1
```
Hinweis :Mit diesem Befehl wird nach Syntaxfehlern gesucht. Wenn keine Fehler vorhanden sind, wird rsyslogd: version X, config validation run (level 1), master config /etc/rsyslog.conf angezeigt.
Starten Sie rsyslog neu, um die Änderungen zu übernehmen:
```
sudo systemctl restart rsyslog
```
Prüfen Sie, ob rsyslog ausgeführt wird:
```
sudo systemctl status rsyslog
```

Konfiguration testen

Generieren Sie eine Testvirenerkennung mit der EICAR-Testdatei:

cd /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

Scannen Sie die Testdatei mit ClamAV:
```
sudo clamdscan /tmp/eicar.com
```

Prüfen Sie, ob die Erkennung im Syslog angezeigt wird:

sudo tail -f /var/log/syslog | grep clamd

Es sollte ein Logeintrag wie der folgende angezeigt werden:

Jan 15 10:30:45 hostname clamd[1234]: /tmp/eicar.com: Win.Test.EICAR_HDB-1(44d88612fea8a8f36de82e1278abb02f:68) FOUND

Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass Logs weitergeleitet werden:
```
sudo journalctl -u observiq-otel-collector -f
```
Prüfen Sie, ob Logs in Google SecOps angezeigt werden:
1. Melden Sie sich in der Google SecOps-Konsole an.
2. Klicken Sie auf Suchen > UDM-Suche.
3. Führen Sie eine Suchanfrage für ClamAV-Logs aus:
```
metadata.log_type = "CLAM_AV"
```
Bereinigen Sie die Testdatei:
```
sudo rm /tmp/eicar.com
```

Alternative Konfiguration: Alle Syslog-Nachrichten an BindPlane weiterleiten

Wenn Sie alle Syslog-Nachrichten (nicht nur ClamAV) an Bindplane weiterleiten möchten, verwenden Sie diese einfachere Konfiguration:

Bearbeiten Sie die rsyslog-Konfiguration:

sudo nano /etc/rsyslog.d/30-forward-all.conf

Fügen Sie die folgende Konfiguration hinzu:

# Forward all logs to Bindplane agent
*.* action(
    type="omfwd"
    protocol="udp"
    target="BINDPLANE_AGENT_IP"
    port="514"
    queue.type="linkedList"
    queue.size="10000"
    action.resumeRetryCount="100"
)

Ersetzen Sie BINDPLANE_AGENT_IP durch die entsprechende IP-Adresse.
Speichern, validieren und starten Sie rsyslog neu, wie in den vorherigen Schritten beschrieben.

Hinweis :Bei dieser Konfiguration werden alle Syslog-Nachrichten an Bindplane weitergeleitet, nicht nur ClamAV-Logs. Möglicherweise müssen Sie zusätzliche Bindplane-Pipelines und Google SecOps-Parser für andere Logquellen konfigurieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
parsed_msg.resource.labels.instance_id	observer.resource.id	Wert direkt kopiert
parsed_msg.labels.compute.googleapis.com/resource_name	observer.resource.name	Wert direkt kopiert
parsed_msg.resource.type, parsed_msg.labels.container.googleapis.com/stream	observer.resource.type	Verkettet aus parsed_msg.resource.type und parsed_msg.labels.container.googleapis.com/stream mit dem Trennzeichen „/“
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	observer.hostname	Verkettet aus parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name und parsed_msg.resource.labels.container_name mit „/“-Trennzeichen
parsed_msg.resource.labels.container_name	observer.application	Wert direkt kopiert
parsed_msg.labels.container.googleapis.com/namespace_name	observer.namespace	Wert direkt kopiert
parsed_msg.resource.labels.zone	observer.location.country_or_region	Wert direkt kopiert
parsed_msg.resource.labels.pod_id	observer.labels	Zusammengeführt als Schlüssel „pod_id“ mit dem Wert aus parsed_msg.resource.labels.pod_id
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	principal.hostname	Verkettet aus parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name und parsed_msg.resource.labels.container_name mit „/“-Trennzeichen
file, _file_path	target.file.full_path	Wert aus der Datei, wenn er aus dem Grok-Muster extrahiert wird, andernfalls aus „_file_path“, wenn er aus dem alternativen Grok-Muster extrahiert wird
Bedrohung	security_result.threat_name	Wert direkt kopiert
total_files, _outcome, threat	security_result.summary	Auf „%{total_files} infizierte Dateien gefunden.“ festlegen, wenn num_files extrahiert wurde, andernfalls „Datei gescannt. (%{_outcome})“, wenn _outcome extrahiert wurde, andernfalls „Signatur für Bedrohung %{threat} gefunden“, wenn threat nicht leer ist.
Kategorie	security_result.category	Wert direkt kopiert (auf „SOFTWARE_MALICIOUS“ gesetzt, wenn „threat“ nicht leer ist)
Aktion	security_result.action	Wert direkt kopiert (auf „BLOCK“ gesetzt, wenn „threat“ nicht leer ist, andernfalls „ALLOW“, wenn „_outcome“ extrahiert wurde)
parsed_msg.insertId	metadata.product_log_id	Wert direkt kopiert
parsed_msg.logName	metadata.description	Wert direkt kopiert
	metadata.event_type	Auf „SCAN_FILE“ festgelegt, wenn eine Bedrohung gefunden oder eine Datei gescannt wurde. Andernfalls „STATUS_UPDATE“, wenn die Anzahl der infizierten Dateien extrahiert wurde.
	metadata.product_name	Auf „CLAMAV“ festlegen
	metadata.vendor_name	Auf „Cisco Systems“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten