收集 Trend Micro Deep Security 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 收集 Trend Micro Deep Security 日志。此解析器会将采用 LEEF+CEF 或 CEF 格式的日志解析为统一数据模型 (UDM)。它使用 Grok 模式和键值对从日志消息中提取字段,然后将这些字段映射到相应的 UDM 字段,同时处理各种数据清理和归一化任务。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有 TrendMicro Deep Security 控制台的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_deep_security raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
在 Linux 中,如需重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent在 Windows 中,如需重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 TrendMicro Deep Security 中配置 Syslog
- 登录 TrendMicro Deep Security 控制台。
- 依次前往政策 > 通用对象 > 其他 > Syslog 配置。
- 依次点击新建 > 新配置。
- 提供以下配置详细信息:
- 名称:用于标识配置的唯一名称(例如 Google SecOps Bindplane)
- 可选:说明:添加说明。
- 日志源标识符:指定要使用的标识符(而非 Deep Security Manager 的主机名,如果需要)。
- 服务器名称:输入 Syslog 服务器 (Bindplane) 的主机名或 IP 地址。
- 服务器端口:指定服务器 (Bindplane) 上的监听端口号。
- 传输:选择 UDP 作为传输协议。
- 事件格式:选择 LEEF 或 CEF(LEEF 格式要求您将代理应转发日志设置为通过 Deep Security Manager)。
- 可选:在活动中添加时区:是否向活动中添加完整日期(包括年份和时区)。
- 可选:代理应转发日志:如果日志采用 LEEF 格式,请选择通过 Deep Security Manager。
- 点击应用以最终确定设置。
配置安全事件转发
- 前往政策,然后选择要配置的计算机所应用的政策。
- 点击详细信息。
- 在政策编辑器窗口中,依次点击设置 > 事件转发。
- 在发送事件之间的周期部分,将周期值设置为 10 到 60 秒之间的时间段。
- 默认值为 60 秒,建议值为 10 秒。
- 对于每个保护模块:
- 反恶意软件 Syslog 配置
- Web 信誉 Syslog 配置
- 防火墙
- 入侵防御 Syslog 配置
- 日志检查和完整性监控 Syslog 配置
- 从上下文菜单中选择要使用的 syslog 配置:
- Syslog 配置名称:选择相应的配置。
- 点击保存以应用设置。
配置系统事件转发
- 依次前往管理 > 系统设置 > 事件转发。
- 在使用配置将系统事件转发到远程计算机(通过 Syslog)中,选择之前创建的现有配置。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| act | read_only_udm.security_result.action_details | |
| aggregationType | read_only_udm.additional.fields.value.string_value | 已转换为字符串。 |
| 猫 | read_only_udm.security_result.category_details | |
| cef_host | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
如果 dvchost 为空,则用作主机名。 |
| cn1 | read_only_udm.target.asset_id | 以“Host Id:”为前缀。 |
| cs1 | read_only_udm.security_result.detection_fields.value | |
| cs1Label | read_only_udm.security_result.detection_fields.key | |
| cs2 | read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value |
如果 cs2Label 为“sha1”,则转换为小写并映射到 sha1;否则映射到 detection_fields。 |
| cs2Label | read_only_udm.security_result.detection_fields.key | |
| cs3 | read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value |
如果 cs3Label 为“md5”,则转换为小写并映射到 md5;否则映射到 detection_fields。 |
| cs3Label | read_only_udm.security_result.detection_fields.key | |
| cs5 | read_only_udm.security_result.detection_fields.value | |
| cs5Label | read_only_udm.security_result.detection_fields.key | |
| cs6 | read_only_udm.security_result.detection_fields.value | |
| cs6Label | read_only_udm.security_result.detection_fields.key | |
| cs7 | read_only_udm.security_result.detection_fields.value | |
| cs7Label | read_only_udm.security_result.detection_fields.key | |
| cnt | read_only_udm.additional.fields.value.string_value | 已转换为字符串。 |
| 降序 | read_only_udm.metadata.description | |
| dst | read_only_udm.target.ip read_only_udm.target.asset.ip |
|
| dstMAC | read_only_udm.target.mac | 转换为小写。 |
| dstPort | read_only_udm.target.port | 已转换为整数。 |
| duser | read_only_udm.target.user.user_display_name | |
| dvc | read_only_udm.about.ip | |
| dvchost | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
| event_id | read_only_udm.metadata.product_event_type | 如果 event_name 不为空,则用作 product_event_type;否则单独使用。 |
| event_name | read_only_udm.metadata.product_event_type | 以“[event_id] - ”为前缀,用作 product_event_type。 |
| fileHash | read_only_udm.target.file.sha256 | 转换为小写。 |
| filePath | read_only_udm.target.file.full_path | 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。 |
| fsize | read_only_udm.target.file.size | 转换为无符号整数。 |
| 主机名 | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
如果目标为空,则用作主机名。 |
| 英寸 | read_only_udm.network.received_bytes | 转换为无符号整数。 |
| msg | read_only_udm.security_result.description | |
| name | read_only_udm.security_result.summary | |
| 组织 | read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name |
|
| proto | read_only_udm.network.ip_protocol | 如果为“ICMPv6”,则替换为“ICMP”。 |
| product_version | read_only_udm.metadata.product_version | |
| 结果 | read_only_udm.security_result.summary | |
| 严重程度 | read_only_udm.security_result.severity read_only_udm.security_result.severity_details |
根据其值映射到严重程度,也映射到 severity_details。 |
| shost | read_only_udm.principal.hostname read_only_udm.principal.asset.hostname |
|
| src | read_only_udm.principal.ip read_only_udm.principal.asset.ip |
|
| srcMAC | read_only_udm.principal.mac | 转换为小写。 |
| srcPort | read_only_udm.principal.port | 已转换为整数。 |
| suid | read_only_udm.principal.user.userid | |
| suser | read_only_udm.principal.user.user_display_name | |
| 目标 | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
| 时间戳 | read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos |
已解析为时间戳。 |
| TrendMicroDsBehaviorType | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsFileSHA1 | read_only_udm.target.file.sha1 | 转换为小写。 |
| TrendMicroDsFrameType | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsMalwareTarget | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsMalwareTargetCount | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsMalwareTargetType | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsProcess | read_only_udm.security_result.detection_fields.value | 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。 |
| TrendMicroDsTenant | read_only_udm.security_result.detection_fields.value | |
| TrendMicroDsTenantId | read_only_udm.security_result.detection_fields.value | |
| usrName | read_only_udm.principal.user.userid | |
| read_only_udm.metadata.event_type | 如果来源和目的地都存在,则设置为“NETWORK_HTTP”,否则设置为“GENERIC_EVENT”。 | |
| read_only_udm.metadata.log_type | 设置为“TRENDMICRO_DEEP_SECURITY”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。