Esta página se ha traducido con Cloud Translation API.

Recoger registros de Trend Micro Cloud One

Disponible en:

SecOps de Google SIEM

Información general

Este analizador gestiona los registros con formato syslog y JSON de Trend Micro Cloud One. Extrae pares clave-valor de mensajes con formato LEEF, normaliza los valores de gravedad, identifica las entidades principales y de destino (IP, nombre de host y usuario) y asigna los datos al esquema de UDM. Si no se detecta el formato LEEF, el analizador intenta procesar la entrada como JSON y extraer los campos pertinentes.

Antes de empezar

Asegúrate de que tienes una instancia de Google SecOps.
Asegúrate de que tienes acceso privilegiado a Trend Micro Cloud One.
Asegúrate de tener un host Windows 2012 SP2 o posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Para instalar en Windows, ejecuta la siguiente secuencia de comandos: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para instalar Linux, ejecuta la siguiente secuencia de comandos: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

Accede a la máquina con el agente de Bindplane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Configurar Syslog desde Trend Micro Cloud One

Vaya a Políticas > Objetos comunes > Otro > Configuraciones de Syslog.
Haz clic en Nuevo > Nueva configuración > General.
Especifique los valores de los siguientes parámetros:
- Nombre: nombre único que identifica la configuración (por ejemplo, Servidor BindPlane de Google SecOps).
- Nombre del servidor: introduce la dirección IP del agente de Bindplane.
- Puerto del servidor: introduce el puerto del agente de Bindplane (por ejemplo, 514).
- Transporte: selecciona UDP.
- Formato de evento: selecciona Syslog.
- Incluir zona horaria en los eventos: no selecciones esta opción.
- Instalación: tipo de proceso con el que se asociarán los eventos.
- Los agentes deben reenviar los registros: selecciona el servidor Syslog.
- Haz clic en Guardar.

Exportar eventos del sistema en Trend Micro Cloud One

Ve a Administración > Configuración del sistema > Reenvío de eventos.
Reenviar eventos del sistema a un ordenador remoto (mediante Syslog) usando la configuración, selecciona la configuración creada en el paso anterior.
Haz clic en Guardar.

Exportar eventos de seguridad en Trend Micro Cloud One

Ve a Políticas.
Haz clic en la política que usan los ordenadores.
Ve a Ajustes > Reenvío de eventos.
Frecuencia de reenvío de eventos (desde el agente o el dispositivo): elige Periodo entre el envío de eventos y selecciona la frecuencia con la que se reenviarán los eventos de seguridad.
Configuración de reenvío de eventos (desde el agente o el dispositivo): elija Configuración de Syslog antimalware y seleccione la configuración creada en el paso anterior.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
actuar	`security_result.action`	Si `act` es "deny" o "block" (sin distinguir entre mayúsculas y minúsculas), entonces `BLOCK`. Si `act` es "pass" o "allow" (sin distinguir entre mayúsculas y minúsculas), entonces `ALLOW`. Si `act` es "update" o "rename" (sin distinguir entre mayúsculas y minúsculas), entonces `ALLOW_WITH_MODIFICATION`. Si `act` es "quarantine" (sin distinguir entre mayúsculas y minúsculas), entonces `QUARANTINE`. De lo contrario, `UNKNOWN_ACTION`.
actuar	`security_result.action_details`	Asignación directa.
gato	`security_result.category_details`	Asignación directa.
cn1	`target.asset_id`	Se añade el prefijo "ID de host:" si `cn1Label` es "ID de host".
descendente	`metadata.description`	Asignación directa.
dvchost	`target.asset.hostname`	Asignación directa.
dvchost	`target.hostname`	Asignación directa.
log_type	`metadata.product_name`	Asignación directa.
msg	`security_result.description`	Asignación directa.
name	`security_result.summary`	Asignación directa.
organización	`target.administrative_domain`	Asignación directa.
proto	`additional.fields.key`	Asigna el valor "Protocol" si el campo `proto` no se puede convertir en un número entero.
proto	`additional.fields.value.string_value`	Se asigna directamente si el campo `proto` no se puede convertir en un número entero.
proto	`network.ip_protocol`	Se asigna mediante la lógica `parse_ip_protocol.include`, que convierte el número de protocolo en su nombre correspondiente (por ejemplo, "6" se convierte en "TCP").
product_version	`metadata.product_version`	Asignación directa.
sev	`security_result.severity`	Si `sev` es "0", "1", "2", "3" o "low" (sin distinguir entre mayúsculas y minúsculas), entonces `LOW`. Si `sev` es "4", "5", "6" o "medium" (sin distinguir entre mayúsculas y minúsculas), entonces `MEDIUM`. Si `sev` es "7", "8" o "high" (sin distinguir entre mayúsculas y minúsculas), entonces `HIGH`. Si `sev` es "9", "10" o "very high" (sin distinguir entre mayúsculas y minúsculas), entonces `CRITICAL`.
sev	`security_result.severity_details`	Asignación directa.
src	`principal.asset.hostname`	Se asigna directamente si no es una dirección IP válida.
src	`principal.asset.ip`	Se asigna directamente si es una dirección IP válida.
src	`principal.hostname`	Se asigna directamente si no es una dirección IP válida.
src	`principal.ip`	Se asigna directamente si es una dirección IP válida.
TrendMicroDsTenant	`security_result.detection_fields.key`	Se ha definido como "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Asignación directa.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Se ha definido como "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Asignación directa.
usrName	`principal.user.userid`	Asignación directa. Si `has_principal` es true y `has_target` es true, entonces `NETWORK_CONNECTION`. Si `has_principal` es true, entonces `STATUS_UPDATE`. Si `has_target` es verdadero y `has_principal` es falso, entonces `USER_UNCATEGORIZED`. De lo contrario, `GENERIC_EVENT`. Su valor debe ser `AUTHTYPE_UNSPECIFIED` si `event_type` es `USER_UNCATEGORIZED`. Se define como "true" si se extrae una dirección IP, un nombre de host o una dirección MAC principal. De lo contrario, se inicializa como "false". Se le asigna el valor "true" si se extrae una IP, un nombre de host o una dirección MAC de destino. De lo contrario, se inicializa como "false". Es igual que la marca de tiempo del evento de nivel superior. Selecciona "Trend Micro".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.