Recopila registros de Trend Micro Cloud One

Compatible con:

Descripción general

Este analizador controla los registros con formato syslog y JSON de Trend Micro Cloud One. Extrae pares clave-valor de mensajes con formato LEEF, normaliza los valores de gravedad, identifica las entidades principales y de destino (IP, nombre de host, usuario) y asigna los datos al esquema del UDM. Si no se detecta el formato LEEF, el analizador intenta procesar la entrada como JSON y extraer los campos pertinentes según corresponda.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Trend Micro Cloud One.
  • Asegúrate de tener un host de Windows 2012 SP2 o posterior, o bien un host de Linux con systemd.
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración del SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación en Windows, ejecuta la siguiente secuencia de comandos: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Para la instalación en Linux, ejecuta la siguiente secuencia de comandos: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

  1. Accede a la máquina con el agente de BindPlane.

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reinicia el agente de Bindplane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Configura Syslog desde Trend Micro Cloud One

  1. Ve a Policies > Common Objects > Other > Syslog Configurations.
  2. Haz clic en Nuevo > Nueva configuración > General.
  3. Especifica valores para los siguientes parámetros:
    • Nombre: Es un nombre único que identifica la configuración (por ejemplo, Servidor de BindPlane de Google SecOps).
    • Nombre del servidor: Ingresa la dirección IP del agente de Bindplane.
    • Puerto del servidor: Ingresa el puerto del agente de BindPlane (por ejemplo, 514).
    • Transporte: Selecciona UDP.
    • Formato del evento: Selecciona Syslog.
    • Incluir zona horaria en los eventos: Mantén la opción sin seleccionar.
    • Instalación: Es el tipo de proceso con el que se asociarán los eventos.
    • Los agentes deben reenviar los registros: Selecciona el servidor Syslog.
    • Haz clic en Guardar.

Exporta eventos del sistema en Trend Micro Cloud One

  1. Ve a Administración > Configuración del sistema > Reenvío de eventos.
  2. Forward System Events to a remote computer (Reenvía eventos del sistema a una computadora remota) a través de Syslog con la configuración. Selecciona la configuración creada en el paso anterior.
  3. Haz clic en Guardar.

Exporta eventos de seguridad en Trend Micro Cloud One

  1. Ve a Políticas.
  2. Haz clic en la política que usan las computadoras.
  3. Ve a Configuración > Reenvío de eventos.
  4. Frecuencia de reenvío de eventos (desde el agente o el dispositivo): Elige Período entre el envío de eventos y selecciona la frecuencia con la que se reenviarán los eventos de seguridad.
  5. Event Forwarding Configuration (from the Agent/Appliance): Elige Anti-Malware Syslog Configuration y selecciona la configuración creada en el paso anterior.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actúa security_result.action Si act es "deny" o "block" (sin distinguir mayúsculas de minúsculas), entonces BLOCK. Si act es "pass" o "allow" (no distingue mayúsculas de minúsculas), entonces ALLOW. Si act es "update" o "rename" (no distingue mayúsculas de minúsculas), entonces ALLOW_WITH_MODIFICATION. Si act es "quarantine" (sin distinción entre mayúsculas y minúsculas), entonces QUARANTINE. En caso contrario, UNKNOWN_ACTION.
actúa security_result.action_details Se asigna directamente.
gato security_result.category_details Se asigna directamente.
cn1 target.asset_id Tiene el prefijo "ID de host:" si cn1Label es "ID de host".
desc metadata.description Se asigna directamente.
dvchost target.asset.hostname Se asigna directamente.
dvchost target.hostname Se asigna directamente.
log_type metadata.product_name Se asigna directamente.
msg security_result.description Se asigna directamente.
nombre security_result.summary Se asigna directamente.
organización target.administrative_domain Se asigna directamente.
protocolo additional.fields.key Se establece en "Protocol" si el campo proto no se puede convertir en un número entero.
protocolo additional.fields.value.string_value Se asigna directamente si el campo proto no se puede convertir en un número entero.
protocolo network.ip_protocol Se asigna con la lógica parse_ip_protocol.include, que convierte el número de protocolo en su nombre correspondiente (p.ej., "6" se convierte en "TCP").
product_version metadata.product_version Se asigna directamente.
sev security_result.severity Si sev es "0", "1", "2", "3" o "low" (sin distinguir mayúsculas de minúsculas), entonces LOW. Si sev es "4", "5", "6" o "medium" (no distingue mayúsculas y minúsculas), entonces MEDIUM. Si sev es "7", "8" o "high" (sin distinguir mayúsculas de minúsculas), entonces HIGH. Si sev es "9", "10" o "muy alto" (sin distinguir mayúsculas de minúsculas), entonces CRITICAL.
sev security_result.severity_details Se asigna directamente.
src principal.asset.hostname Se asigna directamente si no es una dirección IP válida.
src principal.asset.ip Se asigna directamente si es una dirección IP válida.
src principal.hostname Se asigna directamente si no es una dirección IP válida.
src principal.ip Se asigna directamente si es una dirección IP válida.
TrendMicroDsTenant security_result.detection_fields.key Se debe establecer en "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Se asigna directamente.
TrendMicroDsTenantId security_result.detection_fields.key Se establece en "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Se asigna directamente.
usrName principal.user.userid Se asigna directamente. Si has_principal es verdadero y has_target es verdadero, entonces NETWORK_CONNECTION. De lo contrario, si has_principal es verdadero, entonces STATUS_UPDATE. De lo contrario, si has_target es verdadero y has_principal es falso, entonces USER_UNCATEGORIZED. En caso contrario, GENERIC_EVENT. Se establece en AUTHTYPE_UNSPECIFIED si event_type es USER_UNCATEGORIZED. Se establece en "true" si se extrae una dirección IP, un nombre de host o una dirección MAC principal. De lo contrario, se inicializa como "false". Se establece en "true" si se extrae una dirección IP, un nombre de host o una dirección MAC de destino. De lo contrario, se inicializa como "false". Es igual que la marca de tiempo del evento de nivel superior. Establece el valor en "Trend Micro".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.