Trend Micro Cloud One-Logs erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet Syslog- und JSON-formatierte Logs von Trend Micro Cloud One. Es extrahiert Schlüssel/Wert-Paare aus Nachrichten im LEEF-Format, normalisiert Schweregradwerte, identifiziert Haupt- und Zielentitäten (IP, Hostname, Nutzer) und ordnet die Daten dem UDM-Schema zu. Wenn das LEEF-Format nicht erkannt wird, versucht der Parser, die Eingabe als JSON zu verarbeiten und die relevanten Felder entsprechend zu extrahieren.

Hinweise

  • Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Trend Micro Cloud One haben.
  • Achten Sie darauf, dass Sie einen Windows 2012 SP2-Host oder höher oder einen Linux-Host mit systemd haben.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profil auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Skript aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Führen Sie für die Linux-Installation das folgende Skript aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

  1. Greifen Sie mit dem Bindplane-Agent auf die Maschine zu.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Starten Sie den Bindplane-Agent mit dem folgenden Befehl neu, um die Änderungen zu übernehmen: sudo systemctl bindplane restart

Syslog über Trend Micro Cloud One konfigurieren

  1. Rufen Sie Richtlinien > Allgemeine Objekte > Andere > Syslog-Konfigurationen auf.
  2. Klicken Sie auf Neu > Neue Konfiguration > Allgemein.
  3. Geben Sie Werte für die folgenden Parameter an:
    • Name: Eindeutiger Name zur Identifizierung der Konfiguration (z. B. Google SecOps BindPlance-Server).
    • Servername: Geben Sie die IP-Adresse des Bindplane-Agents ein.
    • Server Port: Geben Sie den Port des Bindplane-Agents ein (z. B. 514).
    • Transport: Wählen Sie UDP aus.
    • Event Format (Ereignisformat): Wählen Sie Syslog aus.
    • Zeitzone in Ereignisse einbeziehen: Lassen Sie die Option deaktiviert.
    • Einrichtung: Art des Prozesses, dem Ereignisse zugeordnet werden.
    • Agents should forward logs (Agents sollten Logs weiterleiten): Wählen Sie den Syslog-Server aus.
    • Klicken Sie auf Speichern.

Systemereignisse in Trend Micro Cloud One exportieren

  1. Gehen Sie zu Verwaltung > Systemeinstellungen > Ereignisweiterleitung.
  2. Systemereignisse über Syslog an einen Remotecomputer weiterleiten: Wählen Sie die im vorherigen Schritt erstellte Konfiguration aus.
  3. Klicken Sie auf Speichern.

Sicherheitsereignisse in Trend Micro Cloud One exportieren

  1. Rufen Sie Richtlinien auf.
  2. Klicken Sie auf die Richtlinie, die von den Computern verwendet wird.
  3. Rufen Sie die Einstellungen > Event-Weiterleitung auf.
  4. Häufigkeit der Ereignisweiterleitung (vom Agent/Gerät): Wählen Sie Zeitraum zwischen dem Senden von Ereignissen aus und legen Sie fest, wie oft die Sicherheitsereignisse weitergeleitet werden sollen.
  5. Event Forwarding Configuration (from the Agent/Appliance) (Konfiguration für die Ereignisweiterleitung (vom Agent/von der Appliance)): Wählen Sie Anti-Malware Syslog Configuration (Syslog-Konfiguration für Anti-Malware) aus und wählen Sie die im vorherigen Schritt erstellte Konfiguration aus.
  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
handeln security_result.action Wenn act „deny“ oder „block“ (ohne Berücksichtigung der Groß-/Kleinschreibung) ist, dann BLOCK. Wenn act „pass“ oder „allow“ (Groß-/Kleinschreibung wird nicht berücksichtigt) ist, dann ALLOW. Wenn act „update“ oder „rename“ (unabhängig von der Groß-/Kleinschreibung) ist, dann ALLOW_WITH_MODIFICATION. Wenn act „quarantine“ (ohne Berücksichtigung der Groß-/Kleinschreibung) ist, dann QUARANTINE. Andernfalls UNKNOWN_ACTION.
handeln security_result.action_details Direkt zugeordnet.
Katze security_result.category_details Direkt zugeordnet.
cn1 target.asset_id Mit „Host-ID:“ vorangestellt, wenn cn1Label „Host-ID“ ist.
Ab metadata.description Direkt zugeordnet.
dvchost target.asset.hostname Direkt zugeordnet.
dvchost target.hostname Direkt zugeordnet.
log_type metadata.product_name Direkt zugeordnet.
msg security_result.description Direkt zugeordnet.
Name security_result.summary Direkt zugeordnet.
Organisation target.administrative_domain Direkt zugeordnet.
Proto additional.fields.key Wird auf „Protocol“ festgelegt, wenn das Feld proto nicht in eine Ganzzahl konvertiert werden kann.
Proto additional.fields.value.string_value Direkt zugeordnet, wenn das Feld proto nicht in eine Ganzzahl konvertiert werden kann.
Proto network.ip_protocol Wird mit der parse_ip_protocol.include-Logik zugeordnet, die die Protokollnummer in den entsprechenden Namen konvertiert (z.B. „6“ wird zu „TCP“.
product_version metadata.product_version Direkt zugeordnet.
sev security_result.severity Wenn sev „0“, „1“, „2“, „3“ oder „low“ (unabhängig von der Groß-/Kleinschreibung) ist, dann LOW. Wenn sev „4“, „5“, „6“ oder „medium“ (Groß-/Kleinschreibung wird nicht beachtet) ist, dann MEDIUM. Wenn sev „7“, „8“ oder „high“ (Groß-/Kleinschreibung wird nicht beachtet) ist, dann HIGH. Wenn sev „9“, „10“ oder „very high“ (Groß-/Kleinschreibung wird nicht beachtet) ist, dann CRITICAL.
sev security_result.severity_details Direkt zugeordnet.
src principal.asset.hostname Direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src principal.asset.ip Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
src principal.hostname Direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src principal.ip Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
TrendMicroDsTenant security_result.detection_fields.key Legen Sie diesen Wert auf „TrendMicroDsTenant“ fest.
TrendMicroDsTenant security_result.detection_fields.value Direkt zugeordnet.
TrendMicroDsTenantId security_result.detection_fields.key Legen Sie diesen Wert auf „TrendMicroDsTenantId“ fest.
TrendMicroDsTenantId security_result.detection_fields.value Direkt zugeordnet.
usrName principal.user.userid Direkt zugeordnet. Wenn has_principal und has_target wahr sind, dann NETWORK_CONNECTION. Andernfalls, wenn has_principal „true“ ist, dann STATUS_UPDATE. Andernfalls, wenn has_target wahr und has_principal falsch ist, dann USER_UNCATEGORIZED. Andernfalls GENERIC_EVENT. Wird auf AUTHTYPE_UNSPECIFIED gesetzt, wenn event_type gleich USER_UNCATEGORIZED ist. Wird auf „true“ gesetzt, wenn eine primäre IP-Adresse, ein primärer Hostname oder eine primäre MAC-Adresse extrahiert wird. Andernfalls wird sie auf „false“ gesetzt. Wird auf „true“ gesetzt, wenn eine Ziel-IP-Adresse, ein Ziel-Hostname oder eine Ziel-MAC-Adresse extrahiert wird. Andernfalls wird sie auf „false“ gesetzt. Entspricht dem Zeitstempel des Ereignisses auf oberster Ebene. Legen Sie diesen Wert auf „Trend Micro“ fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten