このページは Cloud Translation API によって翻訳されました。

Trend Micro Cloud One ログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、Trend Micro Cloud One からの syslog 形式と JSON 形式のログを処理します。LEEF 形式のメッセージから Key-Value ペアを抽出し、重大度値を正規化し、プリンシパルエンティティとターゲットエンティティ（IP、ホスト名、ユーザー）を特定して、データを UDM スキーマにマッピングします。LEEF 形式が検出されない場合、パーサーは入力を JSON として処理し、関連するフィールドを抽出します。

始める前に

Google SecOps インスタンスがあることを確認します。
Trend Micro Cloud One への特権アクセス権があることを確認します。
Windows 2012 SP2 以降または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM Settings] > [Collection Agents] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
Linux へのインストールの場合は、次のスクリプトを実行します。sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane エージェントを使用してマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して Bindplane Agent を再起動し、変更を適用します。 sudo systemctl bindplane restart

Trend Micro Cloud One から Syslog を構成する

[Policies] > [Common Objects] > [Other] > [Syslog Configurations] に移動します。
[新規] > [新しい構成] > [全般] をクリックします。
次のパラメータの値を指定します。
- 名前: 構成を識別する一意の名前（Google SecOps BindPlance サーバーなど）。
- サーバー名: Bindplane Agent の IP アドレスを入力します。
- サーバーポート: Bindplane エージェントのポート（514 など）を入力します。
- トランスポート: [UDP] を選択します。
- イベントの形式: [Syslog] を選択します。
- Include time zone in events: 選択しないままにします。
- ファシリティ: イベントが関連付けられるプロセスのタイプ。
- Agents should forward logs: [Syslog] サーバーを選択します。
- [保存] をクリックします。

Trend Micro Cloud One でシステムイベントをエクスポートする

[Administration] > [System Settings] > [Event Forwarding] に移動します。
[Forward System Events to a remote computer]（構成を使用して Syslog 経由でシステムイベントをリモートコンピュータに転送する）で、前の手順で作成した構成を選択します。
[保存] をクリックします。

Trend Micro Cloud One でセキュリティイベントをエクスポートする

[ポリシー] に移動します。
パソコンで使用されているポリシーをクリックします。
[設定] > [イベント転送] に移動します。
Event Forwarding Frequency (from the Agent/Appliance): [Period between sending of events] を選択し、セキュリティイベントの転送頻度を選択します。
Event Forwarding Configuration (from the Agent/Appliance): [Anti-Malware Syslog Configuration] を選択し、前の手順で作成した構成を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
act	`security_result.action`	`act` が「deny」または「block」の場合（大文字と小文字を区別しない）、`BLOCK`。`act` が「pass」または「allow」の場合（大文字と小文字は区別されません）、`ALLOW`。`act` が「update」または「rename」の場合（大文字と小文字を区別しない）、`ALLOW_WITH_MODIFICATION`。`act` が「quarantine」の場合（大文字と小文字を区別しない）、`QUARANTINE`。それ以外の場合は `UNKNOWN_ACTION`。
act	`security_result.action_details`	直接マッピングされます。
猫	`security_result.category_details`	直接マッピングされます。
cn1	`target.asset_id`	`cn1Label` が「Host ID」の場合、「Host Id:」の接頭辞が付きます。
降順	`metadata.description`	直接マッピングされます。
dvchost	`target.asset.hostname`	直接マッピングされます。
dvchost	`target.hostname`	直接マッピングされます。
log_type	`metadata.product_name`	直接マッピングされます。
msg	`security_result.description`	直接マッピングされます。
name	`security_result.summary`	直接マッピングされます。
組織	`target.administrative_domain`	直接マッピングされます。
proto	`additional.fields.key`	`proto` フィールドを整数に変換できない場合は、「Protocol」に設定します。
proto	`additional.fields.value.string_value`	`proto` フィールドを整数に変換できない場合は、直接マッピングされます。
proto	`network.ip_protocol`	`parse_ip_protocol.include` ロジックを使用してマッピングされます。このロジックは、プロトコル番号を対応する名前に変換します（例: 「6」は「TCP」になります）。
product_version	`metadata.product_version`	直接マッピングされます。
sev	`security_result.severity`	`sev` が「0」、「1」、「2」、「3」または「low」（大文字と小文字を区別しない）の場合、`LOW`。`sev` が「4」、「5」、「6」または「medium」の場合（大文字と小文字を区別しない）、`MEDIUM`。`sev` が「7」、「8」、「high」の場合（大文字と小文字を区別しない）、`HIGH`。`sev` が「9」、「10」、「very high」の場合（大文字と小文字を区別しない）、`CRITICAL`。
sev	`security_result.severity_details`	直接マッピングされます。
src	`principal.asset.hostname`	有効な IP アドレスでない場合、直接マッピングされます。
src	`principal.asset.ip`	有効な IP アドレスの場合、直接マッピングされます。
src	`principal.hostname`	有効な IP アドレスでない場合、直接マッピングされます。
src	`principal.ip`	有効な IP アドレスの場合、直接マッピングされます。
TrendMicroDsTenant	`security_result.detection_fields.key`	「TrendMicroDsTenant」に設定します。
TrendMicroDsTenant	`security_result.detection_fields.value`	直接マッピングされます。
TrendMicroDsTenantId	`security_result.detection_fields.key`	「TrendMicroDsTenantId」に設定します。
TrendMicroDsTenantId	`security_result.detection_fields.value`	直接マッピングされます。
usrName	`principal.user.userid`	直接マッピングされます。`has_principal` が true で、`has_target` が true の場合、`NETWORK_CONNECTION`。それ以外の場合、`has_principal` が true の場合は `STATUS_UPDATE`。それ以外の場合、`has_target` が true で `has_principal` が false の場合は、`USER_UNCATEGORIZED`。それ以外の場合は `GENERIC_EVENT`。`event_type` が `USER_UNCATEGORIZED` の場合、`AUTHTYPE_UNSPECIFIED` に設定します。プリンシパルの IP、ホスト名、MAC アドレスが抽出された場合は「true」に設定します。それ以外の場合は、「false」に初期化されます。ターゲットの IP、ホスト名、MAC アドレスが抽出された場合は「true」に設定します。それ以外の場合は、「false」に初期化されます。最上位のイベントタイムスタンプと同じです。「Trend Micro」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。