Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Trend Micro Cloud One

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador processa registros formatados em syslog e JSON do Trend Micro Cloud One. Ele extrai pares de chave-valor de mensagens formatadas em LEEF, normaliza valores de gravidade, identifica entidades principais e de destino (IP, nome do host, usuário) e mapeia os dados para o esquema da UDM. Se o formato LEEF não for detectado, o analisador tentará processar a entrada como JSON e extrair os campos relevantes de acordo.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você tem acesso privilegiado ao Trend Micro Cloud One.
Verifique se você tem um host Windows 2012 SP2 ou mais recente ou Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Para instalação no Windows, execute o seguinte script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para instalação no Linux, execute o seguinte script: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Outras opções de instalação estão disponíveis neste guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse a máquina com o agente do Bindplane.

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças usando o seguinte comando: sudo systemctl bindplane restart

Configurar o Syslog no Trend Micro Cloud One

Acesse Políticas > Objetos comuns > Outros > Configurações do Syslog.
Clique em Novo > Nova configuração > Geral
Especifique valores para os seguintes parâmetros:
- Nome: nome exclusivo que identifica a configuração (por exemplo, Servidor do BindPlane SecOps do Google).
- Nome do servidor: insira o endereço IP do agente do Bindplane.
- Porta do servidor: digite a porta do agente do Bindplane (por exemplo, 514).
- Transporte: selecione UDP.
- Formato do evento: selecione Syslog.
- Incluir fuso horário nos eventos: mantenha a opção desmarcada.
- Instalação: tipo de processo com que os eventos serão associados.
- Os agentes precisam encaminhar registros: selecione o servidor Syslog.
- Clique em Salvar.

Exportar eventos do sistema no Trend Micro Cloud One

Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
Encaminhe eventos do sistema para um computador remoto (via Syslog) usando a configuração criada na etapa anterior.
Clique em Salvar.

Exportar eventos de segurança no Trend Micro Cloud One

Acesse Políticas.
Clique na política usada pelos computadores.
Acesse Configurações > Encaminhamento de eventos.
Frequência de encaminhamento de eventos (do agente/dispositivo): escolha Período entre o envio de eventos e selecione a frequência com que os eventos de segurança serão encaminhados.
Configuração de encaminhamento de eventos (do agente/dispositivo): escolha Configuração do Syslog antimalware e selecione a configuração criada na etapa anterior.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
age	`security_result.action`	Se `act` for "deny" ou "block" (não diferencia maiúsculas e minúsculas), então `BLOCK`. Se `act` for "pass" ou "allow" (não diferencia maiúsculas e minúsculas), então `ALLOW`. Se `act` for "update" ou "rename" (sem diferenciar maiúsculas e minúsculas), então `ALLOW_WITH_MODIFICATION`. Se `act` for "quarantine" (sem diferenciar maiúsculas e minúsculas), então `QUARANTINE`. Caso contrário, `UNKNOWN_ACTION`.
age	`security_result.action_details`	Mapeado diretamente.
gato	`security_result.category_details`	Mapeado diretamente.
cn1	`target.asset_id`	Com o prefixo "Host Id:" se `cn1Label` for "Host ID".
desc	`metadata.description`	Mapeado diretamente.
dvchost	`target.asset.hostname`	Mapeado diretamente.
dvchost	`target.hostname`	Mapeado diretamente.
log_type	`metadata.product_name`	Mapeado diretamente.
msg	`security_result.description`	Mapeado diretamente.
nome	`security_result.summary`	Mapeado diretamente.
organização	`target.administrative_domain`	Mapeado diretamente.
proto	`additional.fields.key`	Defina como "Protocol" se o campo `proto` não puder ser convertido em um número inteiro.
proto	`additional.fields.value.string_value`	Mapeado diretamente se o campo `proto` não puder ser convertido em um número inteiro.
proto	`network.ip_protocol`	Mapeado usando a lógica `parse_ip_protocol.include`, que converte o número do protocolo no nome correspondente (por exemplo, "6" se torna "TCP").
product_version	`metadata.product_version`	Mapeado diretamente.
sev	`security_result.severity`	Se `sev` for "0", "1", "2", "3" ou "low" (não diferencia maiúsculas e minúsculas), então `LOW`. Se `sev` for "4", "5", "6" ou "médio" (não diferencia maiúsculas e minúsculas), então `MEDIUM`. Se `sev` for "7", "8" ou "alta" (não diferencia maiúsculas e minúsculas), então `HIGH`. Se `sev` for "9", "10" ou "muito alta" (não diferencia maiúsculas e minúsculas), então `CRITICAL`.
sev	`security_result.severity_details`	Mapeado diretamente.
src	`principal.asset.hostname`	Mapeado diretamente se não for um endereço IP válido.
src	`principal.asset.ip`	Mapeado diretamente se for um endereço IP válido.
src	`principal.hostname`	Mapeado diretamente se não for um endereço IP válido.
src	`principal.ip`	Mapeado diretamente se for um endereço IP válido.
TrendMicroDsTenant	`security_result.detection_fields.key`	Definido como "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mapeado diretamente.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Definido como "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mapeado diretamente.
usrName	`principal.user.userid`	Mapeado diretamente. Se `has_principal` for verdadeiro e `has_target` for verdadeiro, então `NETWORK_CONNECTION`. Caso contrário, se `has_principal` for verdadeiro, `STATUS_UPDATE`. Caso contrário, se `has_target` for verdadeiro e `has_principal` for falso, então `USER_UNCATEGORIZED`. Caso contrário, `GENERIC_EVENT`. Defina como `AUTHTYPE_UNSPECIFIED` se `event_type` for `USER_UNCATEGORIZED`. Defina como "true" se um IP principal, nome de host ou endereço MAC for extraído. Caso contrário, será inicializado como "false". Defina como "true" se um IP, nome de host ou endereço MAC de destino for extraído. Caso contrário, será inicializado como "false". Igual ao carimbo de data/hora do evento de nível superior. Defina como "Trend Micro".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.