Trend Micro Deep Security-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie die Trend Micro Deep Security-Logs mit Google Security Operations erfassen können. Mit diesem Parser werden die Logs, die entweder im LEEF+CEF- oder im CEF-Format vorliegen können, in ein einheitliches Datenmodell (Unified Data Model, UDM) geparst. Dabei werden Felder aus den Logmeldungen mithilfe von Grok-Mustern und Schlüssel/Wert-Paaren extrahiert und den entsprechenden UDM-Feldern zugeordnet. Außerdem werden verschiedene Aufgaben zur Bereinigung und Normalisierung von Daten ausgeführt.

Hinweise

• Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
• Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
• Sie benötigen privilegierten Zugriff auf die TrendMicro Deep Security-Konsole.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

1. Greifen Sie auf die Konfigurationsdatei zu:

   • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Syslog in Trend Micro Deep Security konfigurieren

1. Melden Sie sich in der Trend Micro Deep Security Console an.
2. Gehen Sie zu Richtlinien > Gemeinsame Objekte > Sonstiges > Syslog-Konfigurationen.
3. Klicken Sie auf Neu > Neue Konfiguration.
4. Geben Sie die folgenden Details für die Konfiguration an:
   • Name: Eindeutiger Name, der die Konfiguration identifiziert (z. B. Google SecOps Bindplane)
   • Optional: Beschreibung: Fügen Sie eine Beschreibung hinzu.
   • Log Source Identifier (Protokollquellen-ID): Geben Sie bei Bedarf eine ID an, die anstelle des Hostnamens von Deep Security Manager verwendet werden soll.
   • Servername: Geben Sie den Hostnamen oder die IP-Adresse des Syslog-Servers (Bindplane) ein.
   • Server Port (Serverport): Geben Sie die Listening-Portnummer auf dem Server (Bindplane) an.
   • Transport: Wählen Sie UDP als Transportprotokoll aus.
   • Event Format (Ereignisformat): Wählen Sie LEEF oder CEF aus. Für das LEEF-Format müssen Sie Agents should forward logs auf Via the Deep Security Manager (Über den Deep Security Manager) festlegen.
   • Optional: Zeitzone in Ereignisse einbeziehen: Gibt an, ob das vollständige Datum (einschließlich Jahr und Zeitzone) dem Ereignis hinzugefügt werden soll.
   • Optional: Agents should forward logs (Agents sollten Logs weiterleiten): Wählen Sie Via the Deep Security Manager (Über den Deep Security Manager) aus, wenn Logs mit LEEF formatiert sind.
5. Klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen.

Weiterleitung von Sicherheitsereignissen konfigurieren

1. Rufen Sie Richtlinien auf und wählen Sie die Richtlinie aus, die auf die Computer angewendet wird, die Sie konfigurieren möchten.
2. Klicken Sie auf Details.
3. Klicken Sie im Fenster Richtlinieneditor auf Einstellungen > Ereignisweiterleitung.
4. Legen Sie im Bereich Zeitraum zwischen dem Senden von Ereignissen einen Zeitraum zwischen 10 und 60 Sekunden fest.
   • Der Standardwert beträgt 60 Sekunden, der empfohlene Wert 10 Sekunden.
5. Für jedes dieser Schutzmodule gilt:
   • Syslog-Konfiguration für Anti-Malware
   • Syslog-Konfiguration für Web-Reputation
   • Firewall
   • Syslog-Konfiguration für die Einbruchsprävention
   • Syslog-Konfiguration für Log-Prüfung und Integritätsmonitoring
6. Wählen Sie im Kontextmenü die zu verwendende Syslog-Konfiguration aus:
   • Syslog Configuration Name (Name der Syslog-Konfiguration): Wählen Sie die entsprechende Konfiguration aus.
7. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

Weiterleitung von Systemereignissen konfigurieren

1. Gehen Sie zu Administration> System Settings> Event Forwarding.
2. Wählen Sie unter Systemereignisse über die Konfiguration per Syslog an einen Remotecomputer weiterleiten die vorhandene Konfiguration aus, die Sie zuvor erstellt haben.
3. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten