Recolha registos do Trend Micro Cloud One
Compatível com:
Google secops
SIEM
Vista geral
Este analisador processa registos formatados em JSON e syslog do Trend Micro Cloud One. Extrai pares de chave-valor de mensagens formatadas em LEEF, normaliza os valores de gravidade, identifica as entidades principais e de destino (IP, nome do anfitrião, utilizador) e mapeia os dados para o esquema do UDM. Se o formato LEEF não for detetado, o analisador tenta processar a entrada como JSON e extrair os campos relevantes em conformidade.
Antes de começar
- Certifique-se de que tem uma instância do Google SecOps.
- Certifique-se de que tem acesso privilegiado ao Trend Micro Cloud One.
- Certifique-se de que tem um anfitrião Windows 2012 SP2 ou posterior, ou Linux com systemd.
- Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento.
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Instale o agente do Bindplane
- Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet. - Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh. - Pode encontrar opções de instalação adicionais neste guia de instalação.
Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps
- Aceda à máquina com o agente Bindplane.
Edite o ficheiro
config.yamlda seguinte forma:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReinicie o agente do Bindplane para aplicar as alterações através do seguinte comando:
sudo systemctl bindplane restart
Configure o Syslog a partir do Trend Micro Cloud One
- Aceda a Políticas > Objetos comuns > Outro > Configurações de Syslog.
- Clique em Novo > Nova configuração > Geral
- Especifique valores para os seguintes parâmetros:
- Nome: nome exclusivo que identifica a configuração (por exemplo, servidor do BindPlane do Google SecOps).
- Nome do servidor: introduza o endereço IP do agente Bindplane.
- Porta do servidor: introduza a porta do agente Bindplane (por exemplo, 514).
- Transporte: selecione UDP.
- Formato do evento: selecione Syslog.
- Incluir fuso horário nos eventos: mantenha a opção desmarcada.
- Instalação: tipo de processo ao qual os eventos vão ser associados.
- Os agentes devem encaminhar registos: selecione o servidor Syslog.
- Clique em Guardar.
Exporte eventos do sistema no Trend Micro Cloud One
- Aceda a Administração > Definições do sistema > Encaminhamento de eventos.
- Encaminhe eventos do sistema para um computador remoto (através do Syslog) usando a configuração, selecione a configuração criada no passo anterior.
- Clique em Guardar.
Exporte eventos de segurança no Trend Micro Cloud One
- Aceda a Políticas.
- Clique na política usada pelos computadores.
- Aceda a Definições > Encaminhamento de eventos.
- Frequência de encaminhamento de eventos (do agente/dispositivo): escolha Período entre o envio de eventos e selecione a frequência com que os eventos de segurança são encaminhados.
- Configuração do encaminhamento de eventos (do agente/dispositivo): escolha Configuração do Syslog anti-malware e selecione a configuração criada no passo anterior.
- Clique em Guardar.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| agir | security_result.action |
Se act for "deny" ou "block" (sem distinção entre maiúsculas e minúsculas), então BLOCK. Se act for "pass" ou "allow" (sem distinção entre maiúsculas e minúsculas), então ALLOW. Se act for "update" ou "rename" (sem distinção entre maiúsculas e minúsculas), então ALLOW_WITH_MODIFICATION. Se act for "quarantine" (não é sensível a maiúsculas e minúsculas), então QUARANTINE. Caso contrário, UNKNOWN_ACTION. |
| agir | security_result.action_details |
Mapeado diretamente. |
| gato | security_result.category_details |
Mapeado diretamente. |
| cn1 | target.asset_id |
Precedido de "Host Id:" se cn1Label for "ID do anfitrião". |
| desc | metadata.description |
Mapeado diretamente. |
| dvchost | target.asset.hostname |
Mapeado diretamente. |
| dvchost | target.hostname |
Mapeado diretamente. |
| log_type | metadata.product_name |
Mapeado diretamente. |
| msg | security_result.description |
Mapeado diretamente. |
| nome | security_result.summary |
Mapeado diretamente. |
| organização | target.administrative_domain |
Mapeado diretamente. |
| proto | additional.fields.key |
Definido como "Protocol" se o campo proto não puder ser convertido num número inteiro. |
| proto | additional.fields.value.string_value |
Mapeado diretamente se não for possível converter o campo proto num número inteiro. |
| proto | network.ip_protocol |
Mapeado através da lógica parse_ip_protocol.include, que converte o número do protocolo no respetivo nome correspondente (por exemplo, "6" torna-se "TCP"). |
| product_version | metadata.product_version |
Mapeado diretamente. |
| sev | security_result.severity |
Se sev for "0", "1", "2", "3" ou "low" (sem distinção entre maiúsculas e minúsculas), então LOW. Se sev for "4", "5", "6" ou "medium" (sem distinção entre maiúsculas e minúsculas), então MEDIUM. Se sev for "7", "8" ou "high" (sem distinção entre maiúsculas e minúsculas), então HIGH. Se sev for "9", "10" ou "very high" (sem distinção entre maiúsculas e minúsculas), então CRITICAL. |
| sev | security_result.severity_details |
Mapeado diretamente. |
| src | principal.asset.hostname |
Mapeado diretamente se não for um endereço IP válido. |
| src | principal.asset.ip |
Mapeado diretamente se for um endereço IP válido. |
| src | principal.hostname |
Mapeado diretamente se não for um endereço IP válido. |
| src | principal.ip |
Mapeado diretamente se for um endereço IP válido. |
| TrendMicroDsTenant | security_result.detection_fields.key |
Definido como "TrendMicroDsTenant". |
| TrendMicroDsTenant | security_result.detection_fields.value |
Mapeado diretamente. |
| TrendMicroDsTenantId | security_result.detection_fields.key |
Definido como "TrendMicroDsTenantId". |
| TrendMicroDsTenantId | security_result.detection_fields.value |
Mapeado diretamente. |
| usrName | principal.user.userid |
Mapeado diretamente. Se has_principal for verdadeiro e has_target for verdadeiro, então NETWORK_CONNECTION. Caso contrário, se has_principal for verdadeiro, então STATUS_UPDATE. Caso contrário, se has_target for verdadeiro e has_principal for falso, então USER_UNCATEGORIZED. Caso contrário, GENERIC_EVENT. Definido como AUTHTYPE_UNSPECIFIED se event_type for USER_UNCATEGORIZED. Definido como "true" se for extraído um endereço IP, um nome de anfitrião ou um endereço MAC principal. Caso contrário, é inicializado como "false". Definido como "true" (verdadeiro) se for extraído um endereço IP, um nome de anfitrião ou um endereço MAC de destino. Caso contrário, é inicializado como "false". Igual à data/hora do evento de nível superior. Definido como "Trend Micro". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.