此页面由 Cloud Translation API 翻译。

收集 Trend Micro Cloud One 日志

支持的语言：

Google SecOps SIEM

概览

此解析器可处理 Trend Micro Cloud One 的 syslog 和 JSON 格式日志。它从 LEEF 格式的消息中提取键值对，对严重程度值进行归一化处理，识别正文和目标实体（IP、主机名、用户），并将数据映射到 UDM 架构。如果未检测到 LEEF 格式，解析器会尝试将输入内容作为 JSON 进行处理，并相应地提取相关字段。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有 Trend Micro Cloud One 的特权访问权限。
确保您拥有 Windows 2012 SP2 或更高版本或带有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

对于 Windows 安装，请运行以下脚本：msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
对于 Linux 安装，请运行以下脚本：sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

使用 Bindplane 代理访问机器。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

使用以下命令重启 Bindplane 代理以应用更改： sudo systemctl bindplane restart

从 Trend Micro Cloud One 配置 Syslog

依次前往政策 > 通用对象 > 其他 > Syslog 配置。
依次点击新建 > 新建配置 > 常规
为以下参数指定值：
- 名称：用于标识配置的唯一名称（例如 Google SecOps BindPlance 服务器）。
- 服务器名称：输入 Bindplane Agent 的 IP 地址。
- 服务器端口：输入 Bindplane Agent 的端口（例如 514）。
- 传输：选择 UDP。
- 事件格式：选择 Syslog。
- 在事件中包含时区：保持未选中状态。
- 功能：与事件关联的进程类型。
- 代理应转发日志：选择 Syslog 服务器。
- 点击保存。

导出 Trend Micro Cloud One 中的系统事件

依次前往管理 > 系统设置 > 事件转发。
使用配置将系统事件转发到远程计算机（通过 Syslog），选择在上一步中创建的配置。
点击保存。

导出 Trend Micro Cloud One 中的安全事件

前往政策。
点击计算机所用的政策。
依次前往设置 > 事件转发。
事件转发频率（来自代理/设备）：选择发送事件的时间间隔，然后选择安全事件的转发频率。
事件转发配置（来自代理/设备）：选择 Anti-Malware Syslog Configuration，然后选择在上一步中创建的配置。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
act	`security_result.action`	如果 `act` 为“deny”或“block”（不区分大小写），则为 `BLOCK`。如果 `act` 为“pass”或“allow”（不区分大小写），则为 `ALLOW`。如果 `act` 为“update”或“rename”（不区分大小写），则为 `ALLOW_WITH_MODIFICATION`。如果 `act` 为“隔离”（不区分大小写），则为 `QUARANTINE`。否则，`UNKNOWN_ACTION`。
act	`security_result.action_details`	直接映射。
猫	`security_result.category_details`	直接映射。
cn1	`target.asset_id`	如果 `cn1Label` 为“Host ID”，则以“Host Id:”为前缀。
降序	`metadata.description`	直接映射。
dvchost	`target.asset.hostname`	直接映射。
dvchost	`target.hostname`	直接映射。
log_type	`metadata.product_name`	直接映射。
msg	`security_result.description`	直接映射。
name	`security_result.summary`	直接映射。
组织	`target.administrative_domain`	直接映射。
proto	`additional.fields.key`	如果 `proto` 字段无法转换为整数，则设置为“Protocol”。
proto	`additional.fields.value.string_value`	如果 `proto` 字段无法转换为整数，则直接映射。
proto	`network.ip_protocol`	使用 `parse_ip_protocol.include` 逻辑进行映射，该逻辑会将协议编号转换为相应的名称（例如，“6”变为“TCP”）。
product_version	`metadata.product_version`	直接映射。
严重程度	`security_result.severity`	如果 `sev` 为“0”“1”“2”“3”或“low”（不区分大小写），则为 `LOW`。如果 `sev` 为“4”“5”“6”或“中”（不区分大小写），则为 `MEDIUM`。如果 `sev` 为“7”“8”或“高”（不区分大小写），则为 `HIGH`。如果 `sev` 为“9”“10”或“非常高”（不区分大小写），则为 `CRITICAL`。
严重程度	`security_result.severity_details`	直接映射。
src	`principal.asset.hostname`	如果不是有效的 IP 地址，则直接映射。
src	`principal.asset.ip`	如果它是有效的 IP 地址，则直接映射。
src	`principal.hostname`	如果不是有效的 IP 地址，则直接映射。
src	`principal.ip`	如果它是有效的 IP 地址，则直接映射。
TrendMicroDsTenant	`security_result.detection_fields.key`	设置为“TrendMicroDsTenant”。
TrendMicroDsTenant	`security_result.detection_fields.value`	直接映射。
TrendMicroDsTenantId	`security_result.detection_fields.key`	设置为“TrendMicroDsTenantId”。
TrendMicroDsTenantId	`security_result.detection_fields.value`	直接映射。
usrName	`principal.user.userid`	直接映射。如果 `has_principal` 为 true 且 `has_target` 为 true，则 `NETWORK_CONNECTION`。否则，如果 `has_principal` 为 true，则执行 `STATUS_UPDATE`。否则，如果 `has_target` 为 true 且 `has_principal` 为 false，则 `USER_UNCATEGORIZED`。否则，`GENERIC_EVENT`。如果 `event_type` 为 `USER_UNCATEGORIZED`，则设置为 `AUTHTYPE_UNSPECIFIED`。如果提取了正文的 IP、主机名或 MAC 地址，则设置为“true”。否则，初始化为“false”。如果提取了目标 IP、主机名或 MAC 地址，则设置为“true”。否则，初始化为“false”。与顶级事件时间戳相同。设置为“Trend Micro”。