Collecter les journaux Trend Micro Deep Security

Compatible avec :

Ce document explique comment collecter les journaux Trend Micro Deep Security à l'aide de Google Security Operations. Cet analyseur traite les journaux, qui peuvent être au format LEEF+CEF ou CEF, dans un modèle de données unifié (UDM). Il extrait les champs des messages du journal à l'aide de modèles Grok et de paires clé/valeur, puis les mappe aux champs UDM correspondants, en gérant diverses tâches de nettoyage et de normalisation des données.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à la console TrendMicro Deep Security.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Installation de Windows

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_deep_security
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

  • Sous Linux, pour redémarrer l'agent Bindplane, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Sous Windows, pour redémarrer l'agent Bindplane, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog dans TrendMicro Deep Security

  1. Connectez-vous à la console Trend Micro Deep Security.
  2. Accédez à Policies> Common Objects> Other> Syslog Configurations.
  3. Cliquez sur Nouveau> Nouvelle configuration.
  4. Fournissez les informations suivantes pour la configuration :
    • Nom : nom unique qui identifie la configuration (par exemple, Google SecOps Bindplane)
    • Facultatif : Description : ajoutez une description.
    • Identifiant de la source de journaux : si vous le souhaitez, spécifiez un identifiant à utiliser à la place du nom d'hôte de Deep Security Manager.
    • Nom du serveur : saisissez le nom d'hôte ou l'adresse IP du serveur Syslog (Bindplane).
    • Port du serveur : spécifiez le numéro de port d'écoute sur le serveur (Bindplane).
    • Transport : sélectionnez UDP comme protocole de transport.
    • Format de l'événement : sélectionnez LEEF ou CEF (le format LEEF nécessite que vous définissiez Les agents doivent transférer les journaux sur Via Deep Security Manager).
    • Facultatif : Inclure le fuseau horaire dans les événements : indique si la date complète (y compris l'année et le fuseau horaire) doit être ajoutée à l'événement.
    • Facultatif : Les agents doivent transférer les journaux : sélectionnez Via le Deep Security Manager si les journaux sont au format LEEF.
  5. Cliquez sur Appliquer pour finaliser les paramètres.

Configurer le transfert des événements de sécurité

  1. Accédez à Règles, puis sélectionnez la règle appliquée aux ordinateurs que vous souhaitez configurer.
  2. Cliquez sur Détails.
  3. Dans la fenêtre Éditeur de règles, cliquez sur Paramètres > Transfert d'événements.
  4. Dans la section Période entre l'envoi des événements, définissez la valeur de la période sur une durée comprise entre 10 et 60 secondes.
    • La valeur par défaut est de 60 secondes, et la valeur recommandée est de 10 secondes.
  5. Pour chacun de ces modules de protection :
    • Configuration Syslog de la protection contre les logiciels malveillants
    • Configuration Syslog de la réputation Web
    • Pare-feu
    • Configuration Syslog de la prévention des intrusions
    • Configuration Syslog pour l'inspection des journaux et la surveillance de l'intégrité
  6. Sélectionnez la configuration syslog à utiliser dans le menu contextuel :
    • Nom de la configuration Syslog : sélectionnez la configuration appropriée.
  7. Cliquez sur Enregistrer pour appliquer les paramètres.

Configurer le transfert des événements système

  1. Accédez à Administration> Paramètres système> Transfert d'événements.
  2. Dans Transférer les événements système vers un ordinateur distant (via Syslog) à l'aide de la configuration, sélectionnez la configuration existante créée précédemment.
  3. Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal Mappage UDM Logique
agir read_only_udm.security_result.action_details
aggregationType read_only_udm.additional.fields.value.string_value Converti en chaîne.
cat read_only_udm.security_result.category_details
cef_host read_only_udm.target.hostname
read_only_udm.target.asset.hostname		 Utilisé comme nom d'hôte si dvchost est vide.
cn1 read_only_udm.target.asset_id Préfixé par "ID de l'hôte :".
cs1 read_only_udm.security_result.detection_fields.value
cs1Label read_only_udm.security_result.detection_fields.key
cs2 read_only_udm.target.file.sha1
read_only_udm.security_result.detection_fields.value		 Converti en minuscules et mappé sur sha1 si cs2Label est "sha1", sinon mappé sur detection_fields.
cs2Label read_only_udm.security_result.detection_fields.key
cs3 read_only_udm.target.file.md5
read_only_udm.security_result.detection_fields.value		 Converti en minuscules et mappé sur md5 si cs3Label est "md5", sinon mappé sur detection_fields.
cs3Label read_only_udm.security_result.detection_fields.key
cs5 read_only_udm.security_result.detection_fields.value
cs5Label read_only_udm.security_result.detection_fields.key
cs6 read_only_udm.security_result.detection_fields.value
cs6Label read_only_udm.security_result.detection_fields.key
cs7 read_only_udm.security_result.detection_fields.value
cs7Label read_only_udm.security_result.detection_fields.key
cnt read_only_udm.additional.fields.value.string_value Converti en chaîne.
décroiss. read_only_udm.metadata.description
dst read_only_udm.target.ip
read_only_udm.target.asset.ip
dstMAC read_only_udm.target.mac Converti en minuscules.
dstPort read_only_udm.target.port Converti en entier.
duser read_only_udm.target.user.user_display_name
dvc read_only_udm.about.ip
dvchost read_only_udm.target.hostname
read_only_udm.target.asset.hostname
event_id read_only_udm.metadata.product_event_type Utilisé comme product_event_type si event_name n'est pas vide, sinon utilisé seul.
event_name read_only_udm.metadata.product_event_type Préfixé par "[event_id] - " et utilisé comme product_event_type.
fileHash read_only_udm.target.file.sha256 Converti en minuscules.
filePath read_only_udm.target.file.full_path "ProgramFiles\(x86\)" remplacé par "Program Files (x86)".
fsize read_only_udm.target.file.size Converti en entier non signé.
nom d'hôte read_only_udm.target.hostname
read_only_udm.target.asset.hostname		 Utilisé comme nom d'hôte si la cible est vide.
dans read_only_udm.network.received_bytes Converti en entier non signé.
Message read_only_udm.security_result.description
nom read_only_udm.security_result.summary
organisation read_only_udm.target.administrative_domain
read_only_udm.metadata.vendor_name
proto read_only_udm.network.ip_protocol Remplacé par "ICMP" s'il s'agit de "ICMPv6".
product_version read_only_udm.metadata.product_version
résultat read_only_udm.security_result.summary
sev read_only_udm.security_result.severity
read_only_udm.security_result.severity_details		 Mappé à la gravité en fonction de sa valeur, également mappé à severity_details.
shost read_only_udm.principal.hostname
read_only_udm.principal.asset.hostname
src read_only_udm.principal.ip
read_only_udm.principal.asset.ip
srcMAC read_only_udm.principal.mac Converti en minuscules.
srcPort read_only_udm.principal.port Converti en entier.
suid read_only_udm.principal.user.userid
suser read_only_udm.principal.user.user_display_name
cible read_only_udm.target.hostname
read_only_udm.target.asset.hostname
timestamp read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_timestamp.nanos		 Analysé en code temporel.
TrendMicroDsBehaviorType read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1 read_only_udm.target.file.sha1 Converti en minuscules.
TrendMicroDsFrameType read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess read_only_udm.security_result.detection_fields.value "ProgramFiles\(x86\)" remplacé par "Program Files (x86)".
TrendMicroDsTenant read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId read_only_udm.security_result.detection_fields.value
usrName read_only_udm.principal.user.userid
read_only_udm.metadata.event_type Définissez la valeur sur "NETWORK_HTTP" si la source et la destination sont présentes, sinon définissez-la sur "GENERIC_EVENT".
read_only_udm.metadata.log_type À définir sur "TRENDMICRO_DEEP_SECURITY".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.