Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Trend Micro Apex One

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log di Trend Micro Apex One. L'analizzatore sintattico estrae i dati dai messaggi syslog, in particolare quelli formattati con coppie chiave-valore e con il prefisso CEF:. Utilizza espressioni regolari e logica condizionale per mappare i campi CEF all'UDM, classificando gli eventi in base alla presenza di informazioni sull'utente o sul sistema e identificando la piattaforma del sistema operativo. I messaggi non formattati in CEF vengono eliminati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
Assicurati di disporre dell'accesso amministrativo alla console Apex Central

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

    receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura l'inoltro Syslog in Trend Micro Apex One

Accedi alla console Apex Central utilizzando le credenziali di amministratore:
Vai ad Amministrazione > Impostazioni > Impostazioni Syslog.
Seleziona la casella Attiva inoltro syslog.
Configura Dettagli server Syslog:
- Indirizzo server: inserisci l'indirizzo IP o il nome di dominio completo dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane (ad esempio, 514 per UDP).
- Protocollo: seleziona UDP come protocollo di trasmissione.
- (Facoltativo) Configura impostazioni proxy: seleziona Utilizza un server proxy SOCKS.
  
  Nota: assicurati che le impostazioni proxy siano configurate in Amministrazione > Impostazioni > Impostazioni proxy.
- Formato log: seleziona CEF.
- Frequenza: definisci la frequenza con cui i log vengono inoltrati al server Syslog.
- Tipo di log: seleziona Log di sicurezza e Informazioni sul prodotto.
Fai clic su Prova connessione per assicurarti che Apex Central possa comunicare con il server Syslog (Bindplane).
Fai clic su Salva per applicare le impostazioni.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.action_details`	Mappato direttamente dal campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Utilizzato come parte della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto al campo `deviceExternalId`.
`app`	`target.port`	Mappato direttamente dal campo `app`.
`cat`	`security_result.category_details`	Mappato direttamente dal campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mappato direttamente dal campo `cn1`. La chiave è derivata da `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mappato direttamente dal campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mappato direttamente dal campo `cn2`. La chiave è derivata da `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mappato direttamente dal campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cn3`. La chiave è derivata da `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs1`. La chiave è derivata da `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mappato direttamente dal campo `cs2`. La chiave è derivata da `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mappato direttamente dal campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mappato direttamente dal campo `cs3`. La chiave è derivata da `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mappato direttamente dal campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs4`. La chiave è derivata da `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cs5`. La chiave è derivata da `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mappato direttamente dal campo `cs6`. La chiave è derivata da `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mappato direttamente dal campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Utilizzato come parte della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto a questo campo.
`deviceNtDomain`	`about.administrative_domain`	Mappato direttamente dal campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mappato direttamente dal campo `devicePayloadId`. La chiave è codificata come "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mappato direttamente dal campo `deviceProcessName`.
`dhost`	`target.hostname`	Mappato direttamente dal campo `dhost`.
`dntdom`	`target.administrative_domain`	Mappato direttamente dal campo `dntdom`.
`dst`	`target.ip`	Mappato direttamente dal campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mappato direttamente dal campo `duser`.
`dvchost`	`about.hostname`	Mappato direttamente dal campo `dvchost`.
`fileHash`	`about.file.full_path`	Mappato direttamente dal campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mappato direttamente dal campo `fname`. La chiave è codificata come "fname".
`message`	`metadata.product_event_type`	L'intestazione CEF viene estratta dal campo del messaggio.
`request`	`target.url`	Mappato direttamente dal campo `request`.
`rt`	`metadata.event_timestamp`	Mappato direttamente dal campo `rt`.
`shost`	`principal.hostname`	Mappato direttamente dal campo `shost`.
`src`	`principal.ip`	Mappato direttamente dal campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mappatura eseguita in base alla logica del parser. I valori vengono normalizzati in "WINDOWS", "MAC" o "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mappato direttamente dal campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mappato direttamente dal campo `TMCMLogDetectedIP`. Derivato dalla logica del parser in base alla presenza di altri campi. I valori possibili sono "USER_UNCATEGORIZED", "STATUS_UPDATE" o "GENERIC_EVENT". Codificato su "TRENDMICRO_APEX_ONE". Codificato su "TRENDMICRO_APEX_ONE". Estratto dall'intestazione CEF nel campo `message`. Codificato su "LOW".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.