Recoger registros de Trend Micro Deep Security

Disponible en:

En este documento se describe cómo puede recoger los registros de Trend Micro Deep Security mediante Google Security Operations. Este analizador convierte los registros, que pueden estar en formato LEEF+CEF o CEF, en un modelo de datos unificado (UDM). Extrae campos de los mensajes de registro mediante patrones grok y pares de clave-valor, y luego los asigna a los campos de UDM correspondientes. Además, realiza varias tareas de limpieza y normalización de datos.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google SecOps.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso con privilegios a la consola de Trend Micro Deep Security.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_deep_security
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • En Windows, para reiniciar el agente de Bindplane, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Trend Micro Deep Security

  1. Inicia sesión en la consola de Trend Micro Deep Security.
  2. Vaya a Políticas > Objetos comunes > Otros > Configuraciones de Syslog.
  3. Haz clic en Nuevo > Nueva configuración.
  4. Proporcione los siguientes detalles de la configuración:
    • Nombre: nombre único que identifica la configuración (por ejemplo, Google SecOps Bindplane).
    • Opcional: Descripción: añade una descripción.
    • Identificador de origen de registro: especifica un identificador que se usará en lugar del nombre de host de Deep Security Manager, si quieres.
    • Nombre del servidor: introduce el nombre de host o la dirección IP del servidor Syslog (Bindplane).
    • Puerto del servidor: especifica el número de puerto de escucha del servidor (Bindplane).
    • Transporte: selecciona UDP como protocolo de transporte.
    • Formato de evento: selecciona LEEF o CEF (el formato LEEF requiere que definas Los agentes deben reenviar los registros como A través de Deep Security Manager).
    • Opcional: Incluir zona horaria en los eventos: si quieres añadir la fecha completa (incluido el año y la zona horaria) al evento.
    • Opcional: Los agentes deben reenviar los registros: selecciona A través de Deep Security Manager si los registros tienen el formato LEEF.
  5. Haz clic en Aplicar para finalizar la configuración.

Configurar el reenvío de eventos de seguridad

  1. Ve a Políticas y selecciona la política aplicada a los ordenadores que quieras configurar.
  2. Haz clic en Detalles.
  3. En la ventana Editor de políticas, haga clic en Configuración > Reenvío de eventos.
  4. En la sección Periodo entre el envío de eventos, defina un periodo de entre 10 y 60 segundos.
    • El valor predeterminado es de 60 segundos y el valor recomendado es de 10 segundos.
  5. En cada uno de estos módulos de protección:
    • Configuración de Syslog de protección antimalware
    • Configuración de Syslog de reputación web
    • Cortafuegos
    • Configuración de Syslog de prevención de intrusiones
    • Configuración de Syslog para la inspección de registros y la monitorización de la integridad
  6. Seleccione la configuración de syslog que quiera usar en el menú contextual:
    • Nombre de configuración de Syslog: selecciona la configuración adecuada.
  7. Haz clic en Guardar para aplicar la configuración.

Configurar el reenvío de eventos del sistema

  1. Ve a Administración > Configuración del sistema > Reenvío de eventos.
  2. En Reenviar eventos del sistema a un ordenador remoto (mediante Syslog) con una configuración, selecciona la configuración que has creado.
  3. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actuar read_only_udm.security_result.action_details
aggregationType read_only_udm.additional.fields.value.string_value Se ha convertido en una cadena.
gato read_only_udm.security_result.category_details
cef_host read_only_udm.target.hostname
read_only_udm.target.asset.hostname		 Se usa como nombre de host si dvchost está vacío.
cn1 read_only_udm.target.asset_id Tiene el prefijo "ID de host:".
cs1 read_only_udm.security_result.detection_fields.value
cs1Label read_only_udm.security_result.detection_fields.key
cs2 read_only_udm.target.file.sha1
read_only_udm.security_result.detection_fields.value		 Se convierte a minúsculas y se asigna a sha1 si cs2Label es "sha1". De lo contrario, se asigna a detection_fields.
cs2Label read_only_udm.security_result.detection_fields.key
cs3 read_only_udm.target.file.md5
read_only_udm.security_result.detection_fields.value		 Se convierte a minúsculas y se asigna a md5 si cs3Label es "md5". De lo contrario, se asigna a detection_fields.
cs3Label read_only_udm.security_result.detection_fields.key
cs5 read_only_udm.security_result.detection_fields.value
cs5Label read_only_udm.security_result.detection_fields.key
cs6 read_only_udm.security_result.detection_fields.value
cs6Label read_only_udm.security_result.detection_fields.key
cs7 read_only_udm.security_result.detection_fields.value
cs7Label read_only_udm.security_result.detection_fields.key
cnt read_only_udm.additional.fields.value.string_value Se ha convertido en una cadena.
descendente read_only_udm.metadata.description
dst read_only_udm.target.ip
read_only_udm.target.asset.ip
dstMAC read_only_udm.target.mac Se ha convertido a minúsculas.
dstPort read_only_udm.target.port Se ha convertido en un número entero.
duser read_only_udm.target.user.user_display_name
dvc read_only_udm.about.ip
dvchost read_only_udm.target.hostname
read_only_udm.target.asset.hostname
event_id read_only_udm.metadata.product_event_type Se usa como product_event_type si event_name no está vacío. De lo contrario, se usa solo.
event_name read_only_udm.metadata.product_event_type Tiene el prefijo "[event_id] - " y se usa como product_event_type.
fileHash read_only_udm.target.file.sha256 Se ha convertido a minúsculas.
filePath read_only_udm.target.file.full_path "ProgramFiles\(x86\)" se ha sustituido por "Archivos de programa (x86)".
fsize read_only_udm.target.file.size Se ha convertido en un número entero sin signo.
nombre de host read_only_udm.target.hostname
read_only_udm.target.asset.hostname		 Se usa como nombre de host si el destino está vacío.
en read_only_udm.network.received_bytes Se ha convertido en un número entero sin signo.
msg read_only_udm.security_result.description
name read_only_udm.security_result.summary
organización read_only_udm.target.administrative_domain
read_only_udm.metadata.vendor_name
proto read_only_udm.network.ip_protocol Se sustituye por "ICMP" si es "ICMPv6".
product_version read_only_udm.metadata.product_version
result read_only_udm.security_result.summary
sev read_only_udm.security_result.severity
read_only_udm.security_result.severity_details		 Se asigna a la gravedad en función de su valor y también a severity_details.
shost read_only_udm.principal.hostname
read_only_udm.principal.asset.hostname
src read_only_udm.principal.ip
read_only_udm.principal.asset.ip
srcMAC read_only_udm.principal.mac Se ha convertido a minúsculas.
srcPort read_only_udm.principal.port Se ha convertido en un número entero.
suid read_only_udm.principal.user.userid
suser read_only_udm.principal.user.user_display_name
target read_only_udm.target.hostname
read_only_udm.target.asset.hostname
timestamp read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_timestamp.nanos		 Analizado como marca de tiempo.
TrendMicroDsBehaviorType read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1 read_only_udm.target.file.sha1 Se ha convertido a minúsculas.
TrendMicroDsFrameType read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess read_only_udm.security_result.detection_fields.value "ProgramFiles\(x86\)" se ha sustituido por "Archivos de programa (x86)".
TrendMicroDsTenant read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId read_only_udm.security_result.detection_fields.value
usrName read_only_udm.principal.user.userid
read_only_udm.metadata.event_type Se define como "NETWORK_HTTP" si están presentes tanto la fuente como el destino. De lo contrario, se define como "GENERIC_EVENT".
read_only_udm.metadata.log_type Se ha definido como "TRENDMICRO_DEEP_SECURITY".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.