Mengumpulkan log ClamAV

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log ClamAV ke Google Security Operations menggunakan agen Bindplane.

ClamAV adalah mesin antivirus open source yang dirancang untuk mendeteksi trojan, virus, malware, dan ancaman berbahaya lainnya. Fitur ini menyediakan pemindaian command line, update otomatis database tanda tangan, dan mendukung beberapa format file, termasuk arsip, file yang dapat dieksekusi, dan dokumen. ClamAV beroperasi sebagai daemon lokal (clamd) atau pemindai command line (clamscan) di sistem Linux, Unix, dan Windows.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara host agen Bindplane dan server ClamAV
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
ClamAV diinstal dan berjalan di endpoint Linux
Akses root atau sudo ke server ClamAV dan host agen Bindplane

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi pengekspor agen Bindplane.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
Status layanan harus RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sudo systemctl status observiq-otel-collector
```
Status layanan harus aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirim log ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/clamav:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CLAM_AV
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/clamav_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/clamav

Ganti placeholder berikut:
- Konfigurasi penerima:
  - listen_address: Setel ke 0.0.0.0:514 untuk memproses semua antarmuka di port UDP 514. Jika port 514 memerlukan hak istimewa root di Linux, gunakan 0.0.0.0:1514 dan konfigurasi rsyslog untuk meneruskan ke port 1514.
- Konfigurasi pengekspor:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: Ganti YOUR_CUSTOMER_ID dengan ID pelanggan yang diperoleh sebelumnya
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Tetapkan ke CLAM_AV (kecocokan persis untuk parser Google SecOps)
  - ingestion_labels: Label opsional dalam format YAML (misalnya, env: production)

Simpan file konfigurasi

Setelah mengedit, simpan file:

Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux:

Jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows:
1. Pilih salah satu opsi berikut:
  - Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Konsol layanan:
    1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
    2. Temukan observIQ OpenTelemetry Collector.
    3. Klik kanan, lalu pilih Mulai Ulang.
2. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
3. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan syslog ClamAV

Mengaktifkan logging syslog di ClamAV

Login ke sistem Linux yang menjalankan ClamAV dengan hak istimewa root atau sudo.
Buka file konfigurasi daemon ClamAV:
```
sudo nano /etc/clamav/clamd.conf
```
Catatan: Lokasi file konfigurasi dapat bervariasi menurut distribusi. Lokasi umum mencakup /etc/clamav/clamd.conf, /etc/clamd.conf, atau /usr/local/etc/clamd.conf.
Cari baris yang bertuliskan #LogSyslog yes atau #LogSyslog true.
Hapus karakter komentar # untuk mengaktifkan logging syslog:
```
LogSyslog yes
```
Opsional: Konfigurasi fasilitas syslog. Cari baris #LogFacility LOG_LOCAL6 dan hapus tanda komentarnya:
```
LogFacility LOG_LOCAL6
```
Catatan: Fasilitas default adalah LOG_LOCAL6. Anda dapat mengubahnya ke fasilitas lain seperti LOG_LOCAL0 hingga LOG_LOCAL7 jika diperlukan.
Opsional: Aktifkan opsi logging tambahan untuk log yang lebih mendetail:
```
LogTime yes
LogVerbose yes
ExtendedDetectionInfo yes
```
- LogTime: Menambahkan stempel waktu ke pesan log
- LogVerbose: Mengaktifkan logging panjang dengan detail tambahan
- ExtendedDetectionInfo: Menyertakan ukuran file dan hash dengan deteksi virus
Simpan file dan keluar:

Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Mulai ulang daemon ClamAV untuk menerapkan perubahan:
```
sudo systemctl restart clamav-daemon
```
Catatan: Nama layanan dapat bervariasi menurut distribusinya. Coba clamav-daemon, clamd, atau clamd@scan jika perintah di atas gagal.
Pastikan daemon ClamAV sedang berjalan:
```
sudo systemctl status clamav-daemon
```

Mengonfigurasi rsyslog untuk meneruskan log ClamAV

Buat file konfigurasi rsyslog baru untuk penerusan ClamAV:
```
sudo nano /etc/rsyslog.d/30-clamav-forward.conf
```
Catatan: Nama file dimulai dengan 30- untuk memastikan file dimuat setelah konfigurasi rsyslog utama, tetapi sebelum aturan default.

Tambahkan konfigurasi berikut untuk meneruskan log ClamAV ke agen Bindplane:

# Forward ClamAV logs (LOG_LOCAL6 facility) to Bindplane agent
if $syslogfacility-text == 'local6' then {
    action(
        type="omfwd"
        protocol="udp"
        target="BINDPLANE_AGENT_IP"
        port="514"
        queue.type="linkedList"
        queue.size="10000"
        action.resumeRetryCount="100"
    )
    stop
}

Ganti BINDPLANE_AGENT_IP dengan alamat IP host agen Bindplane:
- Jika Bindplane diinstal di host yang sama dengan ClamAV, gunakan 127.0.0.1
- Jika Bindplane berada di host yang berbeda, gunakan alamat IP host tersebut (misalnya, 192.168.1.100)
Jika Anda mengonfigurasi Bindplane untuk memproses port lain (misalnya, 1514), perbarui parameter port dengan tepat.
Simpan file dan keluar:

Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Validasi sintaksis konfigurasi rsyslog:
```
sudo rsyslogd -N1
```
Catatan: Perintah ini memeriksa error sintaksis. Jika tidak ada error, Anda akan melihat rsyslogd: version X, config validation run (level 1), master config /etc/rsyslog.conf.
Mulai ulang rsyslog untuk menerapkan perubahan:
```
sudo systemctl restart rsyslog
```
Pastikan rsyslog berjalan:
```
sudo systemctl status rsyslog
```

Menguji konfigurasi

Buat deteksi virus pengujian menggunakan file pengujian EICAR:

cd /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

Pindai file pengujian dengan ClamAV:
```
sudo clamdscan /tmp/eicar.com
```

Pastikan deteksi muncul di syslog:

sudo tail -f /var/log/syslog | grep clamd

Anda akan melihat entri log yang mirip dengan:

Jan 15 10:30:45 hostname clamd[1234]: /tmp/eicar.com: Win.Test.EICAR_HDB-1(44d88612fea8a8f36de82e1278abb02f:68) FOUND

Periksa log agen BindPlane untuk memverifikasi bahwa log diteruskan:
```
sudo journalctl -u observiq-otel-collector -f
```
Pastikan log muncul di Google SecOps:
1. Login ke konsol Google SecOps.
2. Buka Penelusuran > Penelusuran UDM.
3. Jalankan kueri penelusuran untuk log ClamAV:
```
metadata.log_type = "CLAM_AV"
```
Bersihkan file pengujian:
```
sudo rm /tmp/eicar.com
```

Konfigurasi alternatif: Meneruskan semua pesan syslog ke Bindplane

Jika Anda ingin meneruskan semua pesan syslog (bukan hanya ClamAV) ke Bindplane, gunakan konfigurasi yang lebih sederhana ini:

Edit konfigurasi rsyslog:

sudo nano /etc/rsyslog.d/30-forward-all.conf

Tambahkan konfigurasi berikut:

# Forward all logs to Bindplane agent
*.* action(
    type="omfwd"
    protocol="udp"
    target="BINDPLANE_AGENT_IP"
    port="514"
    queue.type="linkedList"
    queue.size="10000"
    action.resumeRetryCount="100"
)

Ganti BINDPLANE_AGENT_IP dengan alamat IP yang sesuai.
Simpan, validasi, dan mulai ulang rsyslog seperti yang dijelaskan pada langkah-langkah sebelumnya.

Catatan: Konfigurasi ini meneruskan semua pesan syslog ke Bindplane, bukan hanya log ClamAV. Anda mungkin perlu mengonfigurasi pipeline Bindplane dan parser Google SecOps tambahan untuk sumber log lainnya.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
parsed_msg.resource.labels.instance_id	observer.resource.id	Nilai disalin secara langsung
parsed_msg.labels.compute.googleapis.com/resource_name	observer.resource.name	Nilai disalin secara langsung
parsed_msg.resource.type, parsed_msg.labels.container.googleapis.com/stream	observer.resource.type	Digabungkan dari parsed_msg.resource.type dan parsed_msg.labels.container.googleapis.com/stream dengan pemisah "/"
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	observer.hostname	Digabungkan dari parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, dan parsed_msg.resource.labels.container_name dengan pemisah "/"
parsed_msg.resource.labels.container_name	observer.application	Nilai disalin secara langsung
parsed_msg.labels.container.googleapis.com/namespace_name	observer.namespace	Nilai disalin secara langsung
parsed_msg.resource.labels.zone	observer.location.country_or_region	Nilai disalin secara langsung
parsed_msg.resource.labels.pod_id	observer.labels	Digabungkan sebagai kunci "pod_id" dengan nilai dari parsed_msg.resource.labels.pod_id
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	principal.hostname	Digabungkan dari parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, dan parsed_msg.resource.labels.container_name dengan pemisah "/"
file, _file_path	target.file.full_path	Nilai dari file jika diekstrak dari pola grok, atau dari _file_path jika diekstrak dari pola grok alternatif
ancaman	security_result.threat_name	Nilai disalin secara langsung
total_files, _outcome, threat	security_result.summary	Disetel ke "%{total_files} file yang terinfeksi ditemukan" jika num_files diekstrak, atau "File dipindai. (%{_outcome})" jika _outcome diekstrak, atau "Ditemukan tanda tangan ancaman %{threat}" jika ancaman tidak kosong
category	security_result.category	Nilai disalin secara langsung (ditetapkan ke "SOFTWARE_MALICIOUS" jika ancaman tidak kosong)
tindakan	security_result.action	Nilai disalin secara langsung (ditetapkan ke "BLOCK" jika ancaman tidak kosong, atau "ALLOW" jika _outcome diekstrak)
parsed_msg.insertId	metadata.product_log_id	Nilai disalin secara langsung
parsed_msg.logName	metadata.description	Nilai disalin secara langsung
	metadata.event_type	Disetel ke "SCAN_FILE" jika ancaman ditemukan atau file dipindai, atau "STATUS_UPDATE" jika jumlah file yang terinfeksi diekstrak
	metadata.product_name	Ditetapkan ke "CLAMAV"
	metadata.vendor_name	Disetel ke "Cisco Systems"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.