Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Trend Micro Apex One

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher os registos do Trend Micro Apex One. O analisador sintático extrai dados de mensagens syslog, especificamente as formatadas com pares de chave/valor e com o prefixo "CEF:". Usa expressões regulares e lógica condicional para mapear campos CEF para o UDM, categorizando eventos com base na presença de informações do utilizador ou do sistema e identificando a plataforma do sistema operativo. As mensagens formatadas que não sejam CEF são ignoradas.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso administrativo à consola do Apex Central

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

No Linux, para reiniciar o agente Bindplane, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
No Windows, para reiniciar o agente Bindplane, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o encaminhamento de Syslog no Trend Micro Apex One

Inicie sessão na consola do Apex Central com as suas credenciais de administrador.
Aceda a Administração > Definições > Definições de Syslog.
Selecione a caixa com a etiqueta Ativar encaminhamento de syslog.
Configure os detalhes do servidor Syslog:
- Endereço do servidor: introduza o endereço IP ou o FQDN do servidor Syslog (Bindplane).
- Porta: especifique o número da porta que o servidor Syslog escuta (Bindplane).
- Protocolo: selecione UDP como o protocolo de transmissão ().
- Opcional: configure as definições de proxy: selecione Usar um servidor proxy SOCKS.
  
  Nota: certifique-se de que as definições de proxy estão configuradas em Administração > Definições > Definições de proxy.
- Formato de registo: selecione CEF.
- Frequência: define a frequência com que os registos são encaminhados para o servidor Syslog.
- Tipo de registo: selecione Registos de segurança e Informações do produto.
Clique em Testar associação para garantir que o Apex Central consegue comunicar com o servidor Syslog (Bindplane).
Clique em Guardar para aplicar as definições.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`act`	`security_result.action_details`	Mapeado diretamente a partir do campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado ao campo `deviceExternalId`.
`app`	`target.port`	Mapeado diretamente a partir do campo `app`.
`cat`	`security_result.category_details`	Mapeado diretamente a partir do campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mapeado diretamente a partir do campo `cn1`. A chave é derivada de `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mapeado diretamente a partir do campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mapeado diretamente a partir do campo `cn2`. A chave é derivada de `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mapeado diretamente a partir do campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mapeado diretamente a partir do campo `cn3`. A chave é derivada de `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mapeado diretamente a partir do campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mapeado diretamente a partir do campo `cs1`. A chave é derivada de `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mapeado diretamente a partir do campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mapeado diretamente a partir do campo `cs2`. A chave é derivada de `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mapeado diretamente a partir do campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mapeado diretamente a partir do campo `cs3`. A chave é derivada de `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mapeado diretamente a partir do campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mapeado diretamente a partir do campo `cs4`. A chave é derivada de `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mapeado diretamente a partir do campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mapeado diretamente a partir do campo `cs5`. A chave é derivada de `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mapeado diretamente a partir do campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mapeado diretamente a partir do campo `cs6`. A chave é derivada de `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mapeado diretamente a partir do campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é anexado a este campo.
`deviceNtDomain`	`about.administrative_domain`	Mapeado diretamente a partir do campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mapeado diretamente a partir do campo `devicePayloadId`. A chave está codificada como "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mapeado diretamente a partir do campo `deviceProcessName`.
`dhost`	`target.hostname`	Mapeado diretamente a partir do campo `dhost`.
`dntdom`	`target.administrative_domain`	Mapeado diretamente a partir do campo `dntdom`.
`dst`	`target.ip`	Mapeado diretamente a partir do campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mapeado diretamente a partir do campo `duser`.
`dvchost`	`about.hostname`	Mapeado diretamente a partir do campo `dvchost`.
`fileHash`	`about.file.full_path`	Mapeado diretamente a partir do campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mapeado diretamente a partir do campo `fname`. A chave está codificada como "fname".
`message`	`metadata.product_event_type`	O cabeçalho CEF é extraído do campo de mensagem.
`request`	`target.url`	Mapeado diretamente a partir do campo `request`.
`rt`	`metadata.event_timestamp`	Mapeado diretamente a partir do campo `rt`.
`shost`	`principal.hostname`	Mapeado diretamente a partir do campo `shost`.
`src`	`principal.ip`	Mapeado diretamente a partir do campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mapeada com base na lógica do analisador. Os valores são normalizados para "WINDOWS", "MAC" ou "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mapeado diretamente a partir do campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mapeado diretamente a partir do campo `TMCMLogDetectedIP`. Derivado da lógica do analisador com base na presença de outros campos. Os valores possíveis são "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Codificado como "TRENDMICRO_APEX_ONE". Codificado como "TRENDMICRO_APEX_ONE". Extraído do cabeçalho CEF no campo `message`. Codificado como "BAIXO".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.