Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Trend Micro Apex One

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log di Trend Micro Apex One. Il parser estrae i dati dai messaggi syslog, in particolare quelli formattati con coppie chiave-valore e con il prefisso "CEF:". Utilizza espressioni regolari e logica condizionale per mappare i campi CEF all'UDM, classificando gli eventi in base alla presenza di informazioni sull'utente o sul sistema e identificando la piattaforma del sistema operativo. I messaggi non formattati in CEF vengono eliminati.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso amministrativo alla console Apex Central

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

In Linux, per riavviare Bindplane Agent, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura l'inoltro Syslog in Trend Micro Apex One

Accedi alla console Apex Central utilizzando le credenziali di amministratore.
Vai ad Amministrazione > Impostazioni > Impostazioni Syslog.
Seleziona la casella Attiva inoltro syslog.
Configura Dettagli server Syslog:
- Indirizzo server: inserisci l'indirizzo IP o il nome di dominio completo del server Syslog (Bindplane).
- Porta: specifica il numero di porta su cui è in ascolto il server Syslog (Bindplane).
- Protocollo: seleziona UDP come protocollo di trasmissione ().
- (Facoltativo) Configura le impostazioni del proxy: seleziona Utilizza un server proxy SOCKS.
  
  Nota: assicurati che le impostazioni proxy siano configurate in Amministrazione > Impostazioni > Impostazioni proxy.
- Formato log: seleziona CEF.
- Frequenza: definisci la frequenza con cui i log vengono inoltrati al server Syslog.
- Tipo di log: seleziona Log di sicurezza e Informazioni sul prodotto.
Fai clic su Prova connessione per assicurarti che Apex Central possa comunicare con il server Syslog (Bindplane).
Fai clic su Salva per applicare le impostazioni.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`act`	`security_result.action_details`	Mappato direttamente dal campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto al campo `deviceExternalId`.
`app`	`target.port`	Mappato direttamente dal campo `app`.
`cat`	`security_result.category_details`	Mappato direttamente dal campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mappato direttamente dal campo `cn1`. La chiave è derivata da `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mappato direttamente dal campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mappato direttamente dal campo `cn2`. La chiave è derivata da `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mappato direttamente dal campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cn3`. La chiave è derivata da `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs1`. La chiave è derivata da `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mappato direttamente dal campo `cs2`. La chiave è derivata da `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mappato direttamente dal campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mappato direttamente dal campo `cs3`. La chiave è derivata da `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mappato direttamente dal campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs4`. La chiave è derivata da `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cs5`. La chiave è derivata da `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mappato direttamente dal campo `cs6`. La chiave è derivata da `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mappato direttamente dal campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto a questo campo.
`deviceNtDomain`	`about.administrative_domain`	Mappato direttamente dal campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mappato direttamente dal campo `devicePayloadId`. La chiave è codificata come "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mappato direttamente dal campo `deviceProcessName`.
`dhost`	`target.hostname`	Mappato direttamente dal campo `dhost`.
`dntdom`	`target.administrative_domain`	Mappato direttamente dal campo `dntdom`.
`dst`	`target.ip`	Mappato direttamente dal campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mappato direttamente dal campo `duser`.
`dvchost`	`about.hostname`	Mappato direttamente dal campo `dvchost`.
`fileHash`	`about.file.full_path`	Mappato direttamente dal campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mappato direttamente dal campo `fname`. La chiave è codificata come "fname".
`message`	`metadata.product_event_type`	L'intestazione CEF viene estratta dal campo del messaggio.
`request`	`target.url`	Mappato direttamente dal campo `request`.
`rt`	`metadata.event_timestamp`	Mappato direttamente dal campo `rt`.
`shost`	`principal.hostname`	Mappato direttamente dal campo `shost`.
`src`	`principal.ip`	Mappato direttamente dal campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mappatura eseguita in base alla logica del parser. I valori vengono normalizzati su "WINDOWS", "MAC" o "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mappato direttamente dal campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mappato direttamente dal campo `TMCMLogDetectedIP`. Derivato dalla logica del parser in base alla presenza di altri campi. I valori possibili sono "USER_UNCATEGORIZED", "STATUS_UPDATE" o "GENERIC_EVENT". Codificato su "TRENDMICRO_APEX_ONE". Codificato su "TRENDMICRO_APEX_ONE". Estratto dall'intestazione CEF nel campo `message`. Codificato su "LOW".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.