Raccogliere i log di Trend Micro Deep Security

Questo documento descrive come raccogliere i log di Trend Micro Deep Security utilizzando Google Security Operations. Questo parser analizza i log, che possono essere in formato LEEF+CEF o CEF, in un modello UDM (Unified Data Model). Estrae i campi dai messaggi di log utilizzando pattern grok e coppie chiave-valore, quindi li mappa ai campi UDM corrispondenti, gestendo varie attività di pulizia e normalizzazione dei dati.

Prima di iniziare

• Assicurati di avere un'istanza Google SecOps.
• Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
• Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso con privilegi alla console TrendMicro Deep Security.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• In Linux, per riavviare Bindplane Agent, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Syslog in TrendMicro Deep Security

1. Accedi alla console Trend Micro Deep Security.
2. Vai a Norme > Oggetti comuni > Altro > Configurazioni Syslog.
3. Fai clic su Nuovo > Nuova configurazione.
4. Fornisci i seguenti dettagli per la configurazione:
   • Nome: nome univoco che identifica la configurazione (ad esempio Google SecOps Bindplane)
   • (Facoltativo) Descrizione: aggiungi una descrizione.
   • Identificatore origine log: specifica un identificatore da utilizzare al posto del nome host di Deep Security Manager, se vuoi.
   • Nome server: inserisci il nome host o l'indirizzo IP del server Syslog (Bindplane).
   • Porta server: specifica il numero di porta di ascolto sul server (Bindplane).
   • Trasporto: seleziona UDP come protocollo di trasporto.
   • Formato evento: seleziona LEEF o CEF (il formato LEEF richiede di impostare Gli agenti devono inoltrare i log su Tramite Deep Security Manager).
   • (Facoltativo) Includi fuso orario negli eventi: indica se aggiungere la data completa (inclusi anno e fuso orario) all'evento.
   • (Facoltativo) Gli agenti devono inoltrare i log: seleziona Tramite Deep Security Manager se i log sono formattati con LEEF.
5. Fai clic su Applica per finalizzare le impostazioni.

Configura l'inoltro degli eventi di sicurezza

1. Vai a Criteri e seleziona il criterio applicato ai computer che vuoi configurare.
2. Fai clic su Dettagli.
3. Nella finestra Editor criteri, fai clic su Impostazioni > Inoltro eventi.
4. Nella sezione Periodo tra l'invio degli eventi, imposta il valore del periodo su un intervallo di tempo compreso tra 10 e 60 secondi.
   • Il valore predefinito è 60 secondi, mentre quello consigliato è 10 secondi.
5. Per ciascuno di questi moduli di protezione:
   • Configurazione di Syslog antimalware
   • Configurazione Syslog della reputazione web
   • Firewall
   • Configurazione Syslog per la prevenzione delle intrusioni
   • Configurazione di Syslog per l'ispezione dei log e il monitoraggio dell'integrità
6. Seleziona la configurazione syslog da utilizzare dal menu contestuale:
   • Nome configurazione Syslog: seleziona la configurazione appropriata.
7. Fai clic su Salva per applicare le impostazioni.

Configurare l'inoltro degli eventi di sistema

1. Vai ad Amministrazione > Impostazioni di sistema > Inoltro eventi.
2. In Inoltra eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione esistente creata in precedenza.
3. Fai clic su Salva.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.