Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Trend Micro Cloud One

Supportato in:

Google secops SIEM

Panoramica

Questo parser gestisce i log in formato syslog e JSON di Trend Micro Cloud One. Estrae le coppie chiave-valore dai messaggi formattati LEEF, normalizza i valori di gravità, identifica le entità principale e di destinazione (IP, nome host, utente) e mappa i dati nello schema UDM. Se il formato LEEF non viene rilevato, il parser tenta di elaborare l'input come JSON ed estrae i campi pertinenti di conseguenza.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso con privilegi a Trend Micro Cloud One.
Assicurati di avere un host Windows 2012 SP2 o versioni successive o Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Per l'installazione di Windows, esegui il seguente script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Per l'installazione di Linux, esegui lo script seguente: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi alla macchina con l'agente Bindplane.

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente Bindplane per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Configura Syslog da Trend Micro Cloud One

Vai a Norme > Oggetti comuni > Altro > Configurazioni Syslog.
Fai clic su Nuovo > Nuova configurazione > Generali.
Specifica i valori per i seguenti parametri:
- Nome: nome univoco che identifica la configurazione (ad esempio, server Google SecOps BindPlance).
- Nome server: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta server: inserisci la porta dell'agente Bindplane (ad esempio, 514).
- Trasporto: seleziona UDP.
- Formato evento: seleziona Syslog.
- Includi il fuso orario negli eventi: mantieni l'opzione deselezionata.
- Struttura: tipo di processo a cui verranno associati gli eventi.
- Gli agenti devono inoltrare i log: seleziona il server Syslog.
- Fai clic su Salva.

Esportare gli eventi di sistema in Trend Micro Cloud One

Vai ad Amministrazione > Impostazioni di sistema > Inoltro eventi.
Inoltra eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione creata nel passaggio precedente.
Fai clic su Salva.

Esportare eventi di sicurezza in Trend Micro Cloud One

Vai a Norme.
Fai clic sul criterio utilizzato dai computer.
Vai a Impostazioni > Inoltro eventi.
Frequenza di inoltro degli eventi (dall'agente/appliance): scegli Periodo tra l'invio degli eventi e seleziona la frequenza con cui verranno inoltrati gli eventi di sicurezza.
Configurazione dell'inoltro degli eventi (dall'agente/appliance): scegli Configurazione Syslog anti-malware e seleziona la configurazione creata nel passaggio precedente.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
atto	`security_result.action`	Se `act` è "deny" o "block" (senza distinzione tra maiuscole e minuscole), allora `BLOCK`. Se `act` è "pass" o "allow" (senza distinzione tra maiuscole e minuscole), allora `ALLOW`. Se `act` è "update" o "rename" (senza distinzione tra maiuscole e minuscole), allora `ALLOW_WITH_MODIFICATION`. Se `act` è "quarantine" (senza distinzione tra maiuscole e minuscole), allora `QUARANTINE`. Altrimenti, `UNKNOWN_ACTION`.
atto	`security_result.action_details`	Mappato direttamente.
gatto	`security_result.category_details`	Mappato direttamente.
cn1	`target.asset_id`	Con il prefisso "Host Id:" se `cn1Label` è "ID host".
decr	`metadata.description`	Mappato direttamente.
dvchost	`target.asset.hostname`	Mappato direttamente.
dvchost	`target.hostname`	Mappato direttamente.
log_type	`metadata.product_name`	Mappato direttamente.
msg	`security_result.description`	Mappato direttamente.
nome	`security_result.summary`	Mappato direttamente.
organizzazione	`target.administrative_domain`	Mappato direttamente.
proto	`additional.fields.key`	Imposta "Protocollo" se il campo `proto` non può essere convertito in un numero intero.
proto	`additional.fields.value.string_value`	Mappato direttamente se il campo `proto` non può essere convertito in un numero intero.
proto	`network.ip_protocol`	Mappato utilizzando la logica `parse_ip_protocol.include`, che converte il numero di protocollo nel nome corrispondente (ad es. "6" diventa "TCP").
product_version	`metadata.product_version`	Mappato direttamente.
sev	`security_result.severity`	Se `sev` è "0", "1", "2", "3" o "low" (senza distinzione tra maiuscole e minuscole), allora `LOW`. Se `sev` è "4", "5", "6" o "medio" (senza distinzione tra maiuscole e minuscole), allora `MEDIUM`. Se `sev` è "7", "8" o "high" (senza distinzione tra maiuscole e minuscole), allora `HIGH`. Se `sev` è "9", "10" o "molto alto" (senza distinzione tra maiuscole e minuscole), allora `CRITICAL`.
sev	`security_result.severity_details`	Mappato direttamente.
src	`principal.asset.hostname`	Mappato direttamente se non è un indirizzo IP valido.
src	`principal.asset.ip`	Mappato direttamente se è un indirizzo IP valido.
src	`principal.hostname`	Mappato direttamente se non è un indirizzo IP valido.
src	`principal.ip`	Mappato direttamente se è un indirizzo IP valido.
TrendMicroDsTenant	`security_result.detection_fields.key`	Imposta il valore su "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mappato direttamente.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Imposta su "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mappato direttamente.
usrName	`principal.user.userid`	Mappato direttamente. Se `has_principal` è vero e `has_target` è vero, allora `NETWORK_CONNECTION`. Altrimenti, se `has_principal` è true, allora `STATUS_UPDATE`. Altrimenti, se `has_target` è true e `has_principal` è false, allora `USER_UNCATEGORIZED`. Altrimenti, `GENERIC_EVENT`. Imposta su `AUTHTYPE_UNSPECIFIED` se `event_type` è `USER_UNCATEGORIZED`. Impostato su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC principale. In caso contrario, viene inizializzato su "false". Impostato su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC di destinazione. In caso contrario, viene inizializzato su "false". Uguale al timestamp dell'evento di primo livello. Imposta "Trend Micro".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.