Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Trend Micro Apex One

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Trend Micro Apex One. L'analyseur extrait les données des messages syslog, en particulier ceux mis en forme avec des paires clé/valeur et préfixés par CEF:. Il utilise des expressions régulières et une logique conditionnelle pour mapper les champs CEF à l'UDM, en catégorisant les événements en fonction de la présence d'informations sur l'utilisateur ou le système, et en identifiant la plate-forme du système d'exploitation. Les messages au format non CEF sont supprimés.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès administrateur à la console Apex Central.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

    receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le transfert Syslog dans Trend Micro Apex One

Connectez-vous à la console Apex Central à l'aide de vos identifiants d'administrateur :
Accédez à Administration > Paramètres > Paramètres Syslog.
Cochez la case Activer le transfert syslog.
Configurez les détails du serveur Syslog :
- Adresse du serveur : saisissez l'adresse IP ou le nom de domaine complet de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Protocole : sélectionnez UDP comme protocole de transmission.
- Facultatif : Configurer les paramètres de proxy : cochez "Utiliser un serveur proxy SOCKS".
  
  Remarque : Assurez-vous que les paramètres de proxy sont configurés sous Administration > Paramètres > Paramètres de proxy.
- Format du journal : sélectionnez CEF.
- Fréquence : définissez la fréquence à laquelle les journaux sont transférés vers le serveur Syslog.
- Type de journal : sélectionnez Journaux de sécurité et Informations sur le produit.
Cliquez sur Tester la connexion pour vous assurer qu'Apex Central peut communiquer avec le serveur Syslog (Bindplane).
Cliquez sur Enregistrer pour appliquer les paramètres.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`act`	`security_result.action_details`	Mappé directement à partir du champ `act`.
`ApexCentralHost`	`about.asset.asset_id`	Utilisé dans la logique de génération de l'asset_id. La valeur "Trend Micro.Apex Central:" est ajoutée au début du champ `deviceExternalId`.
`app`	`target.port`	Mappé directement à partir du champ `app`.
`cat`	`security_result.category_details`	Mappé directement à partir du champ `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mappé directement à partir du champ `cn1`. La clé est dérivée de `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mappé directement à partir du champ `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mappé directement à partir du champ `cn2`. La clé est dérivée de `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mappé directement à partir du champ `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mappé directement à partir du champ `cn3`. La clé est dérivée de `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mappé directement à partir du champ `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mappé directement à partir du champ `cs1`. La clé est dérivée de `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mappé directement à partir du champ `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mappé directement à partir du champ `cs2`. La clé est dérivée de `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mappé directement à partir du champ `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mappé directement à partir du champ `cs3`. La clé est dérivée de `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mappé directement à partir du champ `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mappé directement à partir du champ `cs4`. La clé est dérivée de `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mappé directement à partir du champ `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mappé directement à partir du champ `cs5`. La clé est dérivée de `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mappé directement à partir du champ `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mappé directement à partir du champ `cs6`. La clé est dérivée de `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mappé directement à partir du champ `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Utilisé dans la logique de génération de l'asset_id. La valeur "Trend Micro.Apex Central:" est ajoutée au début de ce champ.
`deviceNtDomain`	`about.administrative_domain`	Mappé directement à partir du champ `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mappé directement à partir du champ `devicePayloadId`. La clé est codée en dur sous la forme "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mappé directement à partir du champ `deviceProcessName`.
`dhost`	`target.hostname`	Mappé directement à partir du champ `dhost`.
`dntdom`	`target.administrative_domain`	Mappé directement à partir du champ `dntdom`.
`dst`	`target.ip`	Mappé directement à partir du champ `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mappé directement à partir du champ `duser`.
`dvchost`	`about.hostname`	Mappé directement à partir du champ `dvchost`.
`fileHash`	`about.file.full_path`	Mappé directement à partir du champ `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mappé directement à partir du champ `fname`. La clé est codée en dur sous la forme "fname".
`message`	`metadata.product_event_type`	L'en-tête CEF est extrait du champ de message.
`request`	`target.url`	Mappé directement à partir du champ `request`.
`rt`	`metadata.event_timestamp`	Mappé directement à partir du champ `rt`.
`shost`	`principal.hostname`	Mappé directement à partir du champ `shost`.
`src`	`principal.ip`	Mappé directement à partir du champ `src`.
`TMCMdevicePlatform`	`principal.platform`	Mappage basé sur la logique de l'analyseur. Les valeurs sont normalisées sur "WINDOWS", "MAC" ou "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mappé directement à partir du champ `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mappé directement à partir du champ `TMCMLogDetectedIP`. Dérivé de la logique de l'analyseur en fonction de la présence d'autres champs. Les valeurs possibles sont "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Codé en dur sur "TRENDMICRO_APEX_ONE". Codé en dur sur "TRENDMICRO_APEX_ONE". Extrait de l'en-tête CEF dans le champ `message`. Codé en dur sur "LOW".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.