Recolha registos do Trend Micro Deep Security

Este documento descreve como pode recolher os registos do Trend Micro Deep Security através do Google Security Operations. Este analisador converte os registos, que podem estar no formato LEEF+CEF ou CEF, num modelo de dados unificado (UDM). Extrai campos das mensagens de registo através de padrões grok e pares de chave/valor e, em seguida, mapeia-os para os campos da UDM correspondentes, processando várias tarefas de limpeza e normalização de dados ao longo do processo.

Antes de começar

• Certifique-se de que tem uma instância do Google SecOps.
• Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
• Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
• Certifique-se de que tem acesso privilegiado à consola do TrendMicro Deep Security.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o agente do Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

1. Abra a Linha de comandos ou o PowerShell como administrador.

2. Execute o seguinte comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

• Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

1. Aceda ao ficheiro de configuração:

   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID de cliente real.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

• No Linux, para reiniciar o agente Bindplane, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• No Windows, para reiniciar o agente Bindplane, pode usar a consola Serviços ou introduzir o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configure o Syslog no TrendMicro Deep Security

1. Inicie sessão na consola do Trend Micro Deep Security.
2. Aceda a Políticas > Objetos comuns > Outros > Configurações de Syslog.
3. Clique em Novo > Nova configuração.
4. Indique os seguintes detalhes para a configuração:
   • Nome: nome exclusivo que identifica a configuração (por exemplo, Google SecOps Bindplane)
   • Opcional: Descrição: adicione uma descrição.
   • Identificador da origem do registo: especifique um identificador a usar em vez do nome do anfitrião do Deep Security Manager, se quiser.
   • Nome do servidor: introduza o nome de anfitrião ou o endereço IP do servidor Syslog (Bindplane).
   • Porta do servidor: especifique o número da porta de escuta no servidor (Bindplane).
   • Transporte: selecione UDP como o protocolo de transporte.
   • Formato de evento: selecione LEEF ou CEF (o formato LEEF requer que defina Os agentes devem encaminhar registos para Através do Deep Security Manager).
   • Opcional: Incluir fuso horário nos eventos: se deve adicionar a data completa (incluindo o ano e o fuso horário) ao evento.
   • Opcional: Os agentes devem encaminhar os registos: selecione Através do Deep Security Manager se os registos estiverem formatados com LEEF.
5. Clique em Aplicar para finalizar as definições.

Configure o encaminhamento de eventos de segurança

1. Aceda a Políticas e selecione a política aplicada aos computadores que quer configurar.
2. Clique em Detalhes.
3. Na janela Editor de políticas, clique em Definições > Encaminhamento de eventos.
4. Na secção Período entre o envio de eventos, defina o valor do período para um período entre 10 e 60 segundos.
   • O valor predefinido é 60 segundos e o valor recomendado é 10 segundos.
5. Para cada um destes módulos de proteção:
   • Configuração do Syslog contra software malicioso
   • Configuração do Syslog da reputação na Web
   • Firewall
   • Configuração do Syslog de prevenção de intrusões
   • Inspeção de registos e configuração do Syslog de monitorização da integridade
6. Selecione a configuração do syslog a usar no menu de contexto:
   • Nome da configuração do Syslog: selecione a configuração adequada.
7. Clique em Guardar para aplicar as definições.

Configure o encaminhamento de eventos do sistema

1. Aceda a Administração > Definições do sistema > Encaminhamento de eventos.
2. Em Encaminhar eventos do sistema para um computador remoto (através do Syslog) usando a configuração, selecione a configuração existente criada anteriormente.
3. Clique em Guardar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.