Recopila registros de CommVault Backup and Recovery

Compatible con:

En este documento, se explica cómo transferir registros de CommVault Backup and Recovery a Google Security Operations con Bindplane. El analizador extrae datos de tres tipos de registros diferentes (Alerts, Events y AuditTrail) dentro de los registros de Commvault. Luego, asigna los campos extraídos al esquema de UDM de Google SecOps y controla varias tareas de limpieza y transformación de datos en el proceso para garantizar una representación coherente.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o versiones posteriores, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a Commvault CommCell.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o el Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: COMMVAULT_COMMCELL
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura el servidor Syslog de Commvault

  1. Accede a la IU web de Commvault CommCell.
  2. Selecciona Administrar > Sistema.
  3. Haz clic en Servidor Syslog.
  4. Especifica los siguientes detalles del servidor syslog:
    • Nombre de host: Ingresa la dirección IP del agente de Bindplane.
    • Puerto: Ingresa el puerto de Bindplane; por ejemplo, 514.
    • Haz clic en el botón de activación Habilitar para activar la configuración del servidor syslog.
    • En el campo Reenviar a syslog, selecciona Alertas, Registros de auditoría y Eventos.
  5. Haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AgentType observer.application Se asigna directamente desde el campo AgentType en el registro de eventos.
Alertid security_result.detection_fields.Alertid.value Se asigna directamente desde el campo Alertid en el registro de alertas.
Alertname security_result.detection_fields.Alertname.value Se asigna directamente desde el campo Alertname en el registro de alertas.
Alertseverity security_result.severity Se asigna desde el campo Alertseverity en el registro de alertas. Se traduce a los niveles de gravedad de UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Alerttime metadata.event_timestamp Se analiza desde el campo Alerttime en el registro de alertas y se convierte en una marca de tiempo.
Audittime metadata.event_timestamp Se analiza desde el campo Audittime en el registro de auditoría y se convierte en una marca de tiempo.
Cliente principal.hostname, principal.asset.hostname Se asigna directamente desde el campo Client en el registro de eventos, alertas o auditoría.
CommCell Este campo de UDM no proviene del registro sin procesar. Se establece en backupcv si se extrae de la descripción de la alerta.
Computadora Este campo de UDM no proviene del registro sin procesar. Se establece en backupcv si se extrae del registro de eventos.
Descripción security_result.description Se asigna desde el campo Description en el registro de eventos o el campo event_description analizado del campo Alertdescription en el registro de alertas. Si el campo Description contiene A suspicious file, se reemplaza por A suspicious file is Detected.
Detalles Se usa para extraer el campo Client con grok.
duración Este campo de UDM no proviene del registro sin procesar. Se establece en la duración extraída de la descripción del evento.
Eventid metadata.product_log_id Se asigna directamente desde el campo Eventid en el registro de eventos.
Eventseverity security_result.severity Se asigna desde el campo Eventseverity en el registro de eventos. Se traduce a los niveles de gravedad de UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
file_name security_result.detection_fields.SuspiciousFileName.value Se extrae del campo Alertdescription en el registro de alertas con grok.
Jobid principal.process.pid Se asigna directamente desde el campo Jobid en el registro de eventos o alertas.
media_agent security_result.detection_fields.MediaAgent.value Se extrae del campo Alertdescription en el registro de alertas con grok.
no_of_files_created security_result.detection_fields.no_of_files_created.value Se extrae del campo Alertdescription en el registro de alertas con grok.
no_of_files_deleted security_result.detection_fields.no_of_files_deleted.value Se extrae del campo Alertdescription en el registro de alertas con grok.
no_of_files_modified security_result.detection_fields.no_of_files_modified.value Se extrae del campo Alertdescription en el registro de alertas con grok.
no_of_files_renamed security_result.detection_fields.no_of_files_renamed.value Se extrae del campo Alertdescription en el registro de alertas con grok.
Occurrencetime metadata.event_timestamp Se analiza desde el campo Occurrencetime en el registro de eventos y se convierte en una marca de tiempo.
Operación security_result.detection_fields.Operation.value Se asigna directamente desde el campo Operation en el registro de auditoría.
Opid security_result.detection_fields.Opid.value Se asigna directamente desde el campo Opid en el registro de auditoría.
Programa principal.application Se asigna directamente desde el campo Program en el registro de eventos.
Severitylevel security_result.severity Se asigna desde el campo Severitylevel en el registro de auditoría. Se traduce a los niveles de gravedad de UDM (INFORMATIONAL, HIGH, LOW, CRITICAL).
Tipo security_result.detection_fields.Type.value Se asigna directamente desde el campo Type extraído del campo Alertdescription en el registro de alertas.
url network.http.referral_url Se asigna directamente desde el campo url extraído del campo Alertdescription en el registro de alertas.
Nombre de usuario principal.user.userid Se asigna directamente desde el campo Username en el registro de auditoría. Si el nombre de usuario es Administrator, el campo principal.user.user_role se establece en ADMINISTRATOR.
- metadata.vendor_name Este campo de UDM no proviene del registro sin procesar. Se establece en COMMVAULT.
- metadata.product_name Este campo de UDM no proviene del registro sin procesar. Se establece en COMMVAULT_COMMCELL.
- metadata.log_type Este campo de UDM no proviene del registro sin procesar. Se establece en COMMVAULT_COMMCELL.
- metadata.event_type Este campo de UDM no proviene del registro sin procesar. Se establece en STATUS_UPDATE si el campo Client está presente; de lo contrario, se establece en GENERIC_EVENT.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.