Recopila registros de Trend Micro Deep Security

En este documento, se describe cómo puedes recopilar los registros de Trend Micro Deep Security con Google Security Operations. Este analizador analiza los registros, que pueden estar en formato LEEF+CEF o CEF, en un modelo de datos unificado (UDM). Extrae campos de los mensajes de registro con patrones de Grok y pares clave-valor, y, luego, los asigna a los campos de UDM correspondientes, mientras controla varias tareas de limpieza y normalización de datos.

Antes de comenzar

• Asegúrate de tener una instancia de Google SecOps.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
• Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso con privilegios a la consola de Trend Micro Deep Security.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos adicionales de instalación

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

1. Accede al archivo de configuración:

   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Reemplaza <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• En Windows, para reiniciar el agente de Bindplane, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura Syslog en TrendMicro Deep Security

1. Accede a la consola de Trend Micro Deep Security.
2. Ve a Policies > Common Objects > Other > Syslog Configurations.
3. Haz clic en Nuevo > Nueva configuración.
4. Proporciona los siguientes detalles para la configuración:
   • Nombre: Nombre único que identifica la configuración (por ejemplo, Google SecOps Bindplane)
   • Opcional: Descripción: Agrega una descripción.
   • Identificador de la fuente de registro: Especifica un identificador para usar en lugar del nombre de host de Deep Security Manager, si lo deseas.
   • Nombre del servidor: Ingresa el nombre de host o la dirección IP del servidor Syslog (Bindplane).
   • Puerto del servidor: Especifica el número de puerto de escucha en el servidor (Bindplane).
   • Transporte: Selecciona UDP como el protocolo de transporte.
   • Formato de evento: Selecciona LEEF o CEF (el formato LEEF requiere que establezcas Los agentes deben reenviar los registros en A través de Deep Security Manager).
   • Opcional: Incluir zona horaria en los eventos: Indica si se debe agregar la fecha completa (incluidos el año y la zona horaria) al evento.
   • Opcional: Los agentes deben reenviar los registros: Selecciona A través de Deep Security Manager si los registros tienen el formato LEEF.
5. Haz clic en Aplicar para finalizar la configuración.

Configura el reenvío de eventos de seguridad

1. Ve a Políticas y selecciona la política que se aplica a las computadoras que deseas configurar.
2. Haz clic en Detalles.
3. En la ventana del Editor de políticas, haz clic en Configuración > Reenvío de eventos.
4. En la sección Período entre el envío de eventos, establece el valor del período en un lapso de entre 10 y 60 segundos.
   • El valor predeterminado es de 60 segundos, y el valor recomendado es de 10 segundos.
5. Para cada uno de estos módulos de protección, haz lo siguiente:
   • Configuración de Syslog de protección contra software malicioso
   • Configuración de Syslog de reputación web
   • Firewall
   • Configuración de Syslog de prevención de intrusiones
   • Configuración de Syslog para la supervisión de integridad y la inspección de registros
6. Selecciona la configuración de syslog que deseas usar en el menú contextual:
   • Nombre de configuración de Syslog: Selecciona la configuración adecuada.
7. Haz clic en Guardar para aplicar la configuración.

Configura el reenvío de eventos del sistema

1. Ve a Administración > Configuración del sistema > Reenvío de eventos.
2. En Forward System Events to a remote computer (via Syslog) using configuration, selecciona la configuración existente que creaste antes.
3. Haz clic en Guardar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.