Mengumpulkan log Trend Micro Apex One

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Apex One. Parser mengekstrak data dari pesan syslog, khususnya yang diformat dengan key-value pair dan diawali dengan CEF:. Proses ini menggunakan ekspresi reguler dan logika bersyarat untuk memetakan kolom CEF ke UDM, mengategorikan peristiwa berdasarkan keberadaan informasi pengguna atau sistem, dan mengidentifikasi platform sistem operasi. Pesan yang tidak diformat CEF akan dihapus.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika dijalankan di belakang proxy, port firewall terbuka
  • Pastikan Anda memiliki akses administratif ke konsol Apex Central

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:
    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

        receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx
    • Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
    • Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
    • Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  1. Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  2. Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi penerusan Syslog di Trend Micro Apex One

  1. Login ke konsol Apex Central menggunakan kredensial administrator Anda:
  2. Buka Administration > Settings > Syslog Settings.
  3. Centang kotak berlabel Enable syslog forwarding.

  4. Konfigurasi Detail Server Syslog:

    • Alamat Server: Masukkan FQDN atau alamat IP agen Bindplane.
    • Port: Masukkan nomor port agen Bindplane (misalnya, 514 untuk UDP).
    • Protocol: Pilih UDP sebagai protokol transmisi.

    • Opsional: Konfigurasi Setelan Proxy: Centang Gunakan server proxy SOCKS.

    • Format Log: Pilih CEF.

    • Frekuensi: Tentukan seberapa sering log diteruskan ke server Syslog.

    • Jenis Log: Pilih Log keamanan dan Informasi produk.

  5. Klik Uji Koneksi untuk memastikan Apex Central dapat berkomunikasi dengan server Syslog (Bindplane).

  6. Klik Simpan untuk menerapkan setelan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
act security_result.action_details Dipetakan langsung dari kolom act.
ApexCentralHost about.asset.asset_id Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan ke kolom deviceExternalId.
app target.port Dipetakan langsung dari kolom app.
cat security_result.category_details Dipetakan langsung dari kolom cat.
cn1 additional.fields[4].value.string_value Dipetakan langsung dari kolom cn1. Kunci berasal dari cn1Label.
cn1Label additional.fields[4].key Dipetakan langsung dari kolom cn1Label.
cn2 additional.fields[6].value.string_value Dipetakan langsung dari kolom cn2. Kunci berasal dari cn2Label.
cn2Label additional.fields[6].key Dipetakan langsung dari kolom cn2Label.
cn3 additional.fields[2].value.string_value Dipetakan langsung dari kolom cn3. Kunci berasal dari cn3Label.
cn3Label additional.fields[2].key Dipetakan langsung dari kolom cn3Label.
cs1 additional.fields[0].value.string_value Dipetakan langsung dari kolom cs1. Kunci berasal dari cs1Label.
cs1Label additional.fields[0].key Dipetakan langsung dari kolom cs1Label.
cs2 additional.fields[1].value.string_value Dipetakan langsung dari kolom cs2. Kunci berasal dari cs2Label.
cs2Label additional.fields[1].key Dipetakan langsung dari kolom cs2Label.
cs3 additional.fields[5].value.string_value Dipetakan langsung dari kolom cs3. Kunci berasal dari cs3Label.
cs3Label additional.fields[5].key Dipetakan langsung dari kolom cs3Label.
cs4 additional.fields[0].value.string_value Dipetakan langsung dari kolom cs4. Kunci berasal dari cs4Label.
cs4Label additional.fields[0].key Dipetakan langsung dari kolom cs4Label.
cs5 additional.fields[2].value.string_value Dipetakan langsung dari kolom cs5. Kunci berasal dari cs5Label.
cs5Label additional.fields[2].key Dipetakan langsung dari kolom cs5Label.
cs6 additional.fields[7].value.string_value Dipetakan langsung dari kolom cs6. Kunci berasal dari cs6Label.
cs6Label additional.fields[7].key Dipetakan langsung dari kolom cs6Label.
deviceExternalId about.asset.asset_id Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan ke kolom ini.
deviceNtDomain about.administrative_domain Dipetakan langsung dari kolom deviceNtDomain.
devicePayloadId additional.fields[3].value.string_value Dipetakan langsung dari kolom devicePayloadId. Kunci di-hardcode sebagai "devicePayloadId".
deviceProcessName about.process.command_line Dipetakan langsung dari kolom deviceProcessName.
dhost target.hostname Dipetakan langsung dari kolom dhost.
dntdom target.administrative_domain Dipetakan langsung dari kolom dntdom.
dst target.ip Dipetakan langsung dari kolom dst.
duser target.user.userid, target.user.user_display_name Dipetakan langsung dari kolom duser.
dvchost about.hostname Dipetakan langsung dari kolom dvchost.
fileHash about.file.full_path Dipetakan langsung dari kolom fileHash.
fname additional.fields[9].value.string_value Dipetakan langsung dari kolom fname. Kunci di-hardcode sebagai "fname".
message metadata.product_event_type Header CEF diekstrak dari kolom pesan.
request target.url Dipetakan langsung dari kolom request.
rt metadata.event_timestamp Dipetakan langsung dari kolom rt.
shost principal.hostname Dipetakan langsung dari kolom shost.
src principal.ip Dipetakan langsung dari kolom src.
TMCMdevicePlatform principal.platform Dipetakan berdasarkan logika di parser. Nilai dinormalisasi menjadi "WINDOWS", "MAC", atau "LINUX".
TMCMLogDetectedHost principal.hostname Dipetakan langsung dari kolom TMCMLogDetectedHost.
TMCMLogDetectedIP principal.ip Dipetakan langsung dari kolom TMCMLogDetectedIP. Diperoleh dari logika parser berdasarkan keberadaan kolom lain. Nilai yang mungkin adalah "USER_UNCATEGORIZED", "STATUS_UPDATE", atau "GENERIC_EVENT". Dikodekan secara permanen ke "TRENDMICRO_APEX_ONE". Dikodekan secara permanen ke "TRENDMICRO_APEX_ONE". Diekstrak dari header CEF di kolom message. Dikodekan secara permanen ke "RENDAH".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.