本頁面由 Cloud Translation API 翻譯而成。

收集 Trend Micro Cloud One 記錄

支援的國家/地區：

Google SecOps SIEM

總覽

這個剖析器會處理 Trend Micro Cloud One 的系統記錄和 JSON 格式記錄。這項外掛程式會從 LEEF 格式的訊息中擷取鍵/值組合、將嚴重程度值標準化、識別主體和目標實體 (IP、主機名稱、使用者)，並將資料對應至 UDM 架構。如果系統未偵測到 LEEF 格式，剖析器會嘗試將輸入內容處理為 JSON，並相應擷取相關欄位。

事前準備

確認您擁有 Google SecOps 執行個體。
確認您擁有 Trend Micro Cloud One 的特殊存取權。
請確認您有 Windows 2012 SP2 以上版本或 Linux 主機 (含 systemd)。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

如要在 Windows 上安裝，請執行下列指令碼：msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
如要安裝 Linux，請執行下列指令碼：sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

使用 Bindplane 代理程式存取機器。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

重新啟動 Bindplane 代理程式，以套用下列指令的變更： sudo systemctl bindplane restart

設定 Trend Micro Cloud One 的系統記錄檔

依序前往「政策」>「通用物件」>「其他」>「系統記錄設定」。
依序點選「新增」>「新增設定」>「一般」
指定下列參數的值：
- 名稱：識別設定的專屬名稱 (例如「Google SecOps BindPlance 伺服器」)。
- 伺服器名稱：輸入 Bindplane 代理程式的 IP 位址。
- 伺服器通訊埠：輸入 Bindplane 代理程式的通訊埠 (例如 514)。
- 傳輸：選取「UDP」。
- 事件格式：選取「Syslog」。
- 在活動中加入時區：保持未選取。
- 設施：與事件相關聯的程序類型。
- 代理程式應轉送記錄：選取「系統記錄」伺服器。
- 按一下 [儲存]。

在 Trend Micro Cloud One 中匯出系統事件

依序前往「管理」>「系統設定」>「事件轉送」。
使用設定將系統事件轉送至遠端電腦 (透過 Syslog)，選取上一步建立的設定。
按一下 [儲存]。

在 Trend Micro Cloud One 中匯出安全事件

前往「政策」。
按一下電腦使用的政策。
依序前往「設定」>「事件轉送」。
事件轉送頻率 (來自代理程式/設備)：選擇「事件傳送間隔時間」，並選取轉送安全事件的頻率。
事件轉送設定 (來自代理程式/設備)：選擇「Anti-Malware Syslog Configuration」(防範惡意軟體 Syslog 設定)，然後選取上一個步驟中建立的設定。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
act	`security_result.action`	如果 `act` 是「deny」或「block」(不區分大小寫)，則 `BLOCK`。如果 `act` 是「pass」或「allow」(不區分大小寫)，則為 `ALLOW`。如果 `act` 是「update」或「rename」(不區分大小寫)，則 `ALLOW_WITH_MODIFICATION`。如果 `act` 是「quarantine」(不區分大小寫)，則 `QUARANTINE`。否則為 `UNKNOWN_ACTION`。
act	`security_result.action_details`	直接對應。
cat	`security_result.category_details`	直接對應。
cn1	`target.asset_id`	如果 `cn1Label` 為「主機 ID」，則開頭為「主機 ID：」。
遞減	`metadata.description`	直接對應。
dvchost	`target.asset.hostname`	直接對應。
dvchost	`target.hostname`	直接對應。
log_type	`metadata.product_name`	直接對應。
msg	`security_result.description`	直接對應。
名稱	`security_result.summary`	直接對應。
組織	`target.administrative_domain`	直接對應。
proto	`additional.fields.key`	如果「`proto`」欄位無法轉換為整數，請設為「通訊協定」。
proto	`additional.fields.value.string_value`	如果 `proto` 欄位無法轉換為整數，則直接對應。
proto	`network.ip_protocol`	使用 `parse_ip_protocol.include` 邏輯對應，將通訊協定號碼轉換為對應名稱 (例如「6」會變成「TCP」)。
product_version	`metadata.product_version`	直接對應。
sev	`security_result.severity`	如果 `sev` 為「0」、「1」、「2」、「3」或「low」(不分大小寫)，則 `LOW`。如果 `sev` 是「4」、「5」、「6」或「medium」(不區分大小寫)，則為 `MEDIUM`。如果 `sev` 為「7」、「8」或「high」(不區分大小寫)，則為 `HIGH`。如果 `sev` 為「9」、「10」或「very high」(不分大小寫)，則為 `CRITICAL`。
sev	`security_result.severity_details`	直接對應。
src	`principal.asset.hostname`	如果不是有效的 IP 位址，則直接對應。
src	`principal.asset.ip`	如果是有效的 IP 位址，則會直接對應。
src	`principal.hostname`	如果不是有效的 IP 位址，則直接對應。
src	`principal.ip`	如果是有效的 IP 位址，則會直接對應。
TrendMicroDsTenant	`security_result.detection_fields.key`	設為「TrendMicroDsTenant」。
TrendMicroDsTenant	`security_result.detection_fields.value`	直接對應。
TrendMicroDsTenantId	`security_result.detection_fields.key`	設為「TrendMicroDsTenantId」。
TrendMicroDsTenantId	`security_result.detection_fields.value`	直接對應。
usrName	`principal.user.userid`	直接對應。如果 `has_principal` 為 true 且 `has_target` 為 true，則 `NETWORK_CONNECTION`。否則，如果 `has_principal` 為 true，則 `STATUS_UPDATE`。否則，如果 `has_target` 為 true 且 `has_principal` 為 false，則 `USER_UNCATEGORIZED`。否則為 `GENERIC_EVENT`。如果 `event_type` 為 `USER_UNCATEGORIZED`，請設為 `AUTHTYPE_UNSPECIFIED`。如果已擷取主體 IP、主機名稱或 MAC 位址，請設為「true」。否則會初始化為「false」。如果已擷取目標 IP、主機名稱或 MAC 位址，請設為「true」。否則會初始化為「false」。與頂層事件時間戳記相同。設為「Trend Micro」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。