Raccogliere i log di ClamAV

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di ClamAV in Google Security Operations utilizzando l'agente Bindplane.

ClamAV è un motore antivirus open source progettato per rilevare trojan, virus, malware e altre minacce dannose. Fornisce la scansione da riga di comando, aggiornamenti automatici del database delle firme e supporta più formati di file, inclusi archivi, eseguibili e documenti. ClamAV funziona come daemon locale (clamd) o scanner da riga di comando (clamscan) su sistemi Linux, Unix e Windows.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'host dell'agente Bindplane e il server ClamAV
Se l'esecuzione avviene tramite un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente Bindplane.
ClamAV installato e in esecuzione sugli endpoint Linux
Accesso root o sudo all'host del server ClamAV e dell'agente Bindplane

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane su Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Lo stato del servizio deve essere RUNNING.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Lo stato del servizio deve essere attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviare i log a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/clamav:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CLAM_AV
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/clamav_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/clamav

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - listen_address: impostalo su 0.0.0.0:514 per ascoltare tutte le interfacce sulla porta UDP 514. Se la porta 514 richiede privilegi di root su Linux, utilizza 0.0.0.0:1514 e configura rsyslog per l'inoltro alla porta 1514.
- Configurazione dell'esportatore:
  - creds_file_path: Percorso completo del file di autenticazione importazione:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: sostituisci YOUR_CUSTOMER_ID con l'ID cliente ottenuto in precedenza
  - endpoint: URL endpoint regionale:
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per un elenco completo, vedi Endpoint regionali.
  - log_type: impostato su CLAM_AV (corrispondenza esatta per il parser di Google SecOps)
  - ingestion_labels: Etichette facoltative in formato YAML (ad esempio, env: production)

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla la presenza di errori nei log:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:
1. Scegli una delle seguenti opzioni:
  - Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services:
    1. Premi Win+R, digita services.msc e premi Invio.
    2. Individua observIQ OpenTelemetry Collector.
    3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
2. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
3. Controlla la presenza di errori nei log:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura l'inoltro di syslog di ClamAV

Abilita il logging syslog in ClamAV

Accedi al sistema Linux che esegue ClamAV con privilegi root o sudo.
Apri il file di configurazione del daemon ClamAV:
```
sudo nano /etc/clamav/clamd.conf
```
Nota: la posizione del file di configurazione può variare in base alla distribuzione. Le posizioni comuni includono /etc/clamav/clamd.conf, /etc/clamd.conf o /usr/local/etc/clamd.conf.
Trova la riga con scritto #LogSyslog yes o #LogSyslog true.
Rimuovi il carattere di commento # per attivare la registrazione syslog:
```
LogSyslog yes
```
(Facoltativo) Configura la struttura syslog. Trova la riga #LogFacility LOG_LOCAL6 e rimuovi il commento:
```
LogFacility LOG_LOCAL6
```
Nota: la struttura predefinita è LOG_LOCAL6. Se necessario, puoi modificarla e scegliere un'altra struttura, ad esempio LOG_LOCAL0 tramite LOG_LOCAL7.
(Facoltativo) Attiva altre opzioni di logging per log più dettagliati:
```
LogTime yes
LogVerbose yes
ExtendedDetectionInfo yes
```
- LogTime: aggiunge timestamp ai messaggi di log
- LogVerbose: attiva il logging dettagliato con ulteriori dettagli
- ExtendedDetectionInfo: Include le dimensioni e l'hash del file con i rilevamenti di virus
Salva il file ed esci:

Premi Ctrl+O, poi Enter e infine Ctrl+X.
Riavvia il daemon ClamAV per applicare le modifiche:
```
sudo systemctl restart clamav-daemon
```
Nota :il nome del servizio può variare in base alla distribuzione. Prova clamav-daemon, clamd o clamd@scan se il comando precedente non va a buon fine.
Verifica che il daemon ClamAV sia in esecuzione:
```
sudo systemctl status clamav-daemon
```

Configura rsyslog per inoltrare i log di ClamAV

Crea un nuovo file di configurazione rsyslog per l'inoltro di ClamAV:
```
sudo nano /etc/rsyslog.d/30-clamav-forward.conf
```
Nota: il nome file inizia con 30- per garantire che venga caricato dopo la configurazione principale di rsyslog, ma prima delle regole predefinite.

Aggiungi la seguente configurazione per inoltrare i log di ClamAV all'agente Bindplane:

# Forward ClamAV logs (LOG_LOCAL6 facility) to Bindplane agent
if $syslogfacility-text == 'local6' then {
    action(
        type="omfwd"
        protocol="udp"
        target="BINDPLANE_AGENT_IP"
        port="514"
        queue.type="linkedList"
        queue.size="10000"
        action.resumeRetryCount="100"
    )
    stop
}

Sostituisci BINDPLANE_AGENT_IP con l'indirizzo IP dell'host dell'agente Bindplane:
- Se Bindplane è installato sullo stesso host di ClamAV, utilizza 127.0.0.1
- Se Bindplane si trova su un host diverso, utilizza l'indirizzo IP di quell'host (ad esempio, 192.168.1.100).
Se hai configurato Bindplane per l'ascolto su una porta diversa (ad esempio 1514), aggiorna il parametro port di conseguenza.
Salva il file ed esci:

Premi Ctrl+O, poi Enter e infine Ctrl+X.
Convalida la sintassi di configurazione di rsyslog:
```
sudo rsyslogd -N1
```
Nota: questo comando verifica la presenza di errori di sintassi. Se non sono presenti errori, vedrai rsyslogd: version X, config validation run (level 1), master config /etc/rsyslog.conf.
Riavvia rsyslog per applicare le modifiche:
```
sudo systemctl restart rsyslog
```
Verifica che rsyslog sia in esecuzione:
```
sudo systemctl status rsyslog
```

Testare la configurazione

Genera un rilevamento di virus di test utilizzando il file di test EICAR:

cd /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

Scansiona il file di test con ClamAV:
```
sudo clamdscan /tmp/eicar.com
```

Verifica che il rilevamento venga visualizzato in syslog:

sudo tail -f /var/log/syslog | grep clamd

Dovresti visualizzare una voce di log simile alla seguente:

Jan 15 10:30:45 hostname clamd[1234]: /tmp/eicar.com: Win.Test.EICAR_HDB-1(44d88612fea8a8f36de82e1278abb02f:68) FOUND

Controlla i log dell'agente Bindplane per verificare che i log vengano inoltrati:
```
sudo journalctl -u observiq-otel-collector -f
```
Verifica che i log vengano visualizzati in Google SecOps:
1. Accedi alla console Google SecOps.
2. Vai a Ricerca > Ricerca UDM.
3. Esegui una query di ricerca per i log di ClamAV:
```
metadata.log_type = "CLAM_AV"
```
Pulisci il file di test:
```
sudo rm /tmp/eicar.com
```

Configurazione alternativa: inoltra tutti i messaggi syslog a Bindplane

Se vuoi inoltrare tutti i messaggi syslog (non solo ClamAV) a Bindplane, utilizza questa configurazione più semplice:

Modifica la configurazione di rsyslog:

sudo nano /etc/rsyslog.d/30-forward-all.conf

Aggiungi la seguente configurazione:

# Forward all logs to Bindplane agent
*.* action(
    type="omfwd"
    protocol="udp"
    target="BINDPLANE_AGENT_IP"
    port="514"
    queue.type="linkedList"
    queue.size="10000"
    action.resumeRetryCount="100"
)

Sostituisci BINDPLANE_AGENT_IP con l'indirizzo IP appropriato.
Salva, convalida e riavvia rsyslog come descritto nei passaggi precedenti.

Nota :questa configurazione inoltra tutti i messaggi syslog a Bindplane, non solo i log di ClamAV. Potresti dover configurare pipeline Bindplane e parser Google SecOps aggiuntivi per altre origini log.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
parsed_msg.resource.labels.instance_id	observer.resource.id	Valore copiato direttamente
parsed_msg.labels.compute.googleapis.com/resource_name	observer.resource.name	Valore copiato direttamente
parsed_msg.resource.type, parsed_msg.labels.container.googleapis.com/stream	observer.resource.type	Concatenato da parsed_msg.resource.type e parsed_msg.labels.container.googleapis.com/stream con separatore "/"
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	observer.hostname	Concatenato da parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name e parsed_msg.resource.labels.container_name con separatori "/"
parsed_msg.resource.labels.container_name	observer.application	Valore copiato direttamente
parsed_msg.labels.container.googleapis.com/namespace_name	observer.namespace	Valore copiato direttamente
parsed_msg.resource.labels.zone	observer.location.country_or_region	Valore copiato direttamente
parsed_msg.resource.labels.pod_id	observer.labels	Unito come chiave "pod_id" con valore da parsed_msg.resource.labels.pod_id
parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name, parsed_msg.resource.labels.container_name	principal.hostname	Concatenato da parsed_msg.resource.labels.project_id, parsed_msg.resource.labels.cluster_name e parsed_msg.resource.labels.container_name con separatori "/"
file, _file_path	target.file.full_path	Valore del file se estratto dal pattern grok, altrimenti da _file_path se estratto dal pattern grok alternativo
minaccia	security_result.threat_name	Valore copiato direttamente
total_files, _outcome, threat	security_result.summary	Impostato su "%{total_files} file infetti trovati" se num_files estratto, altrimenti "File scansionato. (%{_outcome})" se _outcome estratto, altrimenti "Trovata firma minaccia %{threat}." se minaccia non vuota
categoria	security_result.category	Valore copiato direttamente (impostato su "SOFTWARE_MALICIOUS" se la minaccia non è vuota)
azione	security_result.action	Valore copiato direttamente (impostato su "BLOCK" se la minaccia non è vuota, altrimenti su "ALLOW" se _outcome estratto)
parsed_msg.insertId	metadata.product_log_id	Valore copiato direttamente
parsed_msg.logName	metadata.description	Valore copiato direttamente
	metadata.event_type	Impostato su "SCAN_FILE" se è stata rilevata una minaccia o il file è stato scansionato, altrimenti "STATUS_UPDATE" se è stato estratto il conteggio dei file infetti
	metadata.product_name	Impostato su "CLAMAV"
	metadata.vendor_name	Impostato su "Cisco Systems"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.