ClamAV ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して ClamAV ログを Google Security Operations に取り込む方法について説明します。

ClamAV は、トロイの木馬、ウイルス、マルウェア、その他の悪意のある脅威を検出するように設計されたオープンソースのウイルス対策エンジンです。コマンドラインスキャン、シグネチャデータベースの自動更新を提供し、アーカイブ、実行可能ファイル、ドキュメントなど、複数のファイル形式をサポートしています。ClamAV は、Linux、Unix、Windows システムでローカルデーモン（clamd）またはコマンドラインスキャナ（clamscan）として動作します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントホストと ClamAV サーバー間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
Linux エンドポイントに ClamAV がインストールされ、実行されている
ClamAV サーバーと Bindplane エージェントホストへの root または sudo アクセス権

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスステータスは RUNNING になります。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスのステータスが [active (running)] になります。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps にログを送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/clamav:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CLAM_AV
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/clamav_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/clamav

各プレースホルダを次のように置き換えます。
- レシーバーの構成:
  - listen_address: 0.0.0.0:514 に設定すると、UDP ポート 514 のすべてのインターフェースでリッスンします。ポート 514 で Linux の root 権限が必要な場合は、0.0.0.0:1514 を使用して、ポート 1514 に転送するように rsyslog を構成します。
- エクスポータの構成:
  - creds_file_path: 取り込み認証ファイルのフルパス:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: YOUR_CUSTOMER_ID は、前の手順で取得した顧客 ID に置き換えます。
  - endpoint: リージョンエンドポイント URL:
    - 米国: malachiteingestion-pa.googleapis.com
    - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
    - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
    - 完全なリストについては、リージョンエンドポイントをご覧ください。
  - log_type: CLAM_AV（Google SecOps パーサーの完全一致）に設定します。
  - ingestion_labels: YAML 形式の省略可能なラベル（例: env: production）

構成ファイルを保存する

編集が完了したら、ファイルを保存します。

Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには:
1. 次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
2. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
3. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには:
1. 次のいずれかのオプションを選択します。
  - 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - サービスコンソール:
    1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
    2. observIQ OpenTelemetry Collector を見つけます。
    3. 右クリックして [再起動] を選択します。
2. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
3. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

ClamAV syslog 転送を構成する

ClamAV で syslog ロギングを有効にする

root 権限または sudo 権限で ClamAV を実行している Linux システムにログインします。
ClamAV デーモン構成ファイルを開きます。
```
sudo nano /etc/clamav/clamd.conf
```
注: 構成ファイルの場所はディストリビューションによって異なる場合があります。一般的なロケーションには、/etc/clamav/clamd.conf、/etc/clamd.conf、/usr/local/etc/clamd.conf などがあります。
#LogSyslog yes または #LogSyslog true と書かれた行を見つけます。
syslog ロギングを有効にするには、# コメント文字を削除します。
```
LogSyslog yes
```
省略可: syslog ファシリティを構成します。#LogFacility LOG_LOCAL6 行を見つけてコメント化を解除します。
```
LogFacility LOG_LOCAL6
```
注: デフォルトのファシリティは LOG_LOCAL6 です。必要に応じて、LOG_LOCAL0 から LOG_LOCAL7 などの別のファシリティに変更できます。
省略可: 詳細なログを取得するために、追加のロギングオプションを有効にします。
```
LogTime yes
LogVerbose yes
ExtendedDetectionInfo yes
```
- LogTime: ログメッセージにタイムスタンプを追加します
- LogVerbose: 詳細なロギングを有効にします
- ExtendedDetectionInfo: ファイルサイズとハッシュ（ウイルス検出を含む）が含まれます
ファイルを保存して終了します。

Ctrl+O、Enter、Ctrl+X の順に押します。
ClamAV デーモンを再起動して変更を適用します。
```
sudo systemctl restart clamav-daemon
```
注: サービス名はディストリビューションによって異なる場合があります。上記のコマンドが失敗した場合は、clamav-daemon、clamd、または clamd@scan をお試しください。
ClamAV デーモンが実行されていることを確認します。
```
sudo systemctl status clamav-daemon
```

ClamAV ログを転送するように rsyslog を構成する

ClamAV 転送用の新しい rsyslog 構成ファイルを作成します。
```
sudo nano /etc/rsyslog.d/30-clamav-forward.conf
```
注: ファイル名が 30- で始まるのは、メインの rsyslog 構成の後に読み込まれ、デフォルトのルールの前に読み込まれるようにするためです。

次の構成を追加して、ClamAV ログを Bindplane エージェントに転送します。

# Forward ClamAV logs (LOG_LOCAL6 facility) to Bindplane agent
if $syslogfacility-text == 'local6' then {
    action(
        type="omfwd"
        protocol="udp"
        target="BINDPLANE_AGENT_IP"
        port="514"
        queue.type="linkedList"
        queue.size="10000"
        action.resumeRetryCount="100"
    )
    stop
}

BINDPLANE_AGENT_IP は、Bindplane エージェントホストの IP アドレスに置き換えます。
- Bindplane が ClamAV と同じホストにインストールされている場合は、127.0.0.1 を使用します。
- Bindplane が別のホストにある場合は、そのホストの IP アドレス（192.168.1.100 など）を使用します。
別のポート（1514 など）をリッスンするように Bindplane を構成した場合は、それに応じて port パラメータを更新します。
ファイルを保存して終了します。

Ctrl+O、Enter、Ctrl+X の順に押します。
rsyslog 構成の構文を検証します。
```
sudo rsyslogd -N1
```
注: このコマンドは構文エラーをチェックします。エラーがない場合は、rsyslogd: version X, config validation run (level 1), master config /etc/rsyslog.conf が表示されます。
rsyslog を再起動して変更を適用します。
```
sudo systemctl restart rsyslog
```
rsyslog が実行されていることを確認します。
```
sudo systemctl status rsyslog
```

構成のテスト

EICAR テストファイルを使用してテストウイルス検出を生成します。

cd /tmp
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

ClamAV でテストファイルをスキャンします。
```
sudo clamdscan /tmp/eicar.com
```

syslog に検出が表示されていることを確認します。

sudo tail -f /var/log/syslog | grep clamd

次のようなログエントリが表示されます。

Jan 15 10:30:45 hostname clamd[1234]: /tmp/eicar.com: Win.Test.EICAR_HDB-1(44d88612fea8a8f36de82e1278abb02f:68) FOUND

Bindplane エージェントのログを調べて、ログが転送されていることを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
ログが Google SecOps に表示されていることを確認します。
1. Google SecOps コンソールにログインします。
2. [検索] > [UDM 検索] に移動します。
3. ClamAV ログの検索クエリを実行します。
```
metadata.log_type = "CLAM_AV"
```
テストファイルをクリーンアップします。
```
sudo rm /tmp/eicar.com
```

代替構成: すべての syslog メッセージを Bindplane に転送する

（ClamAV だけでなく）すべての syslog メッセージを Bindplane に転送する場合は、次のよりシンプルな構成を使用します。

rsyslog 構成を編集します。

sudo nano /etc/rsyslog.d/30-forward-all.conf

次の構成を追加します。

# Forward all logs to Bindplane agent
*.* action(
    type="omfwd"
    protocol="udp"
    target="BINDPLANE_AGENT_IP"
    port="514"
    queue.type="linkedList"
    queue.size="10000"
    action.resumeRetryCount="100"
)

BINDPLANE_AGENT_IP は、適切な IP アドレスに置き換えます。
前の手順で説明したように、rsyslog を保存、検証、再起動します。

注: この構成では、ClamAV ログだけでなく、すべての syslog メッセージが Bindplane に転送されます。他のログソース用に、追加の Bindplane パイプラインと Google SecOps パーサーを構成する必要がある場合があります。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
parsed_msg.resource.labels.instance_id	observer.resource.id	値を直接コピーしました
parsed_msg.labels.compute.googleapis.com/resource_name	observer.resource.name	値を直接コピーしました
parsed_msg.resource.type、parsed_msg.labels.container.googleapis.com/stream	observer.resource.type	parsed_msg.resource.type と parsed_msg.labels.container.googleapis.com/stream を「/」区切り文字で連結した値
parsed_msg.resource.labels.project_id、parsed_msg.resource.labels.cluster_name、parsed_msg.resource.labels.container_name	observer.hostname	parsed_msg.resource.labels.project_id、parsed_msg.resource.labels.cluster_name、parsed_msg.resource.labels.container_name を「/」区切り文字で連結した文字列
parsed_msg.resource.labels.container_name	observer.application	値を直接コピーしました
parsed_msg.labels.container.googleapis.com/namespace_name	observer.namespace	値を直接コピーしました
parsed_msg.resource.labels.zone	observer.location.country_or_region	値を直接コピーしました
parsed_msg.resource.labels.pod_id	observer.labels	キー「pod_id」として、parsed_msg.resource.labels.pod_id の値と統合されます。
parsed_msg.resource.labels.project_id、parsed_msg.resource.labels.cluster_name、parsed_msg.resource.labels.container_name	principal.hostname	parsed_msg.resource.labels.project_id、parsed_msg.resource.labels.cluster_name、parsed_msg.resource.labels.container_name を「/」区切り文字で連結した文字列
file, _file_path	target.file.full_path	Grok パターンから抽出された場合はファイルの値、代替 Grok パターンから抽出された場合は _file_path の値
脅威	security_result.threat_name	値を直接コピーしました
total_files、_outcome、threat	security_result.summary	抽出されたファイル数が num_files の場合は「%{total_files} 個の感染ファイルが見つかりました。」に設定し、それ以外の場合は「ファイルをスキャンしました。（%{_outcome}）」（_outcome が抽出された場合）、または「脅威 %{threat} のシグネチャが見つかりました」（脅威が空でない場合）
category	security_result.category	値が直接コピーされます（脅威が空でない場合は「SOFTWARE_MALICIOUS」に設定されます）。
アクション	security_result.action	値が直接コピーされます（脅威が空でない場合は「BLOCK」に設定され、_outcome が抽出された場合は「ALLOW」に設定されます）。
parsed_msg.insertId	metadata.product_log_id	値を直接コピーしました
parsed_msg.logName	metadata.description	値を直接コピーしました
	metadata.event_type	脅威が検出された場合、またはファイルがスキャンされた場合は「SCAN_FILE」に設定します。感染したファイルの数が抽出された場合は「STATUS_UPDATE」に設定します。
	metadata.product_name	「CLAMAV」に設定
	metadata.vendor_name	「Cisco Systems」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。