收集 Trend Micro Apex One 記錄

支援的國家/地區:

本文說明如何收集 Trend Micro Apex One 記錄檔。剖析器會從系統記錄訊息中擷取資料,特別是格式為鍵/值組合且前置字元為 CEF: 的訊息。它會使用規則運算式和條件邏輯,將 CEF 欄位對應至 UDM,並根據使用者或系統資訊的存在與否將事件分類,以及識別作業系統平台。系統會捨棄非 CEF 格式的訊息。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • 確認您擁有 Apex Central 控制台的管理員存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

        receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx
    • 視基礎架構需求,替換通訊埠和 IP 位址。
    • <customer_id> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  1. 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  2. 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Trend Micro Apex One 中設定 Syslog 轉送

  1. 使用管理員憑證登入 Apex Central 控制台:
  2. 依序前往「Administration」>「Settings」>「Syslog Settings」。
  3. 勾選標示為「啟用 Syslog 轉送」的方塊。

  4. 設定 Syslog 伺服器詳細資料

    • 伺服器位址:輸入 Bindplane 代理程式 IP 位址或完整網域名稱 (FQDN)。
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號 (例如 UDP514)。
    • 通訊協定:選取 UDP 做為傳輸通訊協定。

    • 選用:設定 Proxy 設定:勾選「使用 SOCKS Proxy 伺服器」。

    • 記錄格式:選取「CEF」

    • 頻率:定義記錄轉送至 Syslog 伺服器的頻率。

    • 記錄類型:選取「安全性記錄」和「產品資訊」

  5. 按一下「測試連線」,確認 Apex Central 可以與 Syslog 伺服器 (Bindplane) 通訊。

  6. 按一下「儲存」套用設定。

UDM 對應表

記錄欄位 UDM 對應 邏輯
act security_result.action_details 直接對應 act 欄位。
ApexCentralHost about.asset.asset_id 用於 asset_id 生成邏輯。「Trend Micro.Apex Central:」值會加到 deviceExternalId 欄位的前面。
app target.port 直接對應 app 欄位。
cat security_result.category_details 直接對應 cat 欄位。
cn1 additional.fields[4].value.string_value 直接對應至「cn1」欄位。金鑰衍生自「cn1Label」。
cn1Label additional.fields[4].key 直接對應 cn1Label 欄位。
cn2 additional.fields[6].value.string_value 直接對應至「cn2」欄位。金鑰衍生自「cn2Label」。
cn2Label additional.fields[6].key 直接對應 cn2Label 欄位。
cn3 additional.fields[2].value.string_value 直接對應至「cn3」欄位。金鑰衍生自「cn3Label」。
cn3Label additional.fields[2].key 直接對應 cn3Label 欄位。
cs1 additional.fields[0].value.string_value 直接對應至「cs1」欄位。金鑰衍生自「cs1Label」。
cs1Label additional.fields[0].key 直接對應 cs1Label 欄位。
cs2 additional.fields[1].value.string_value 直接對應至「cs2」欄位。金鑰衍生自「cs2Label」。
cs2Label additional.fields[1].key 直接對應 cs2Label 欄位。
cs3 additional.fields[5].value.string_value 直接對應至「cs3」欄位。金鑰衍生自「cs3Label」。
cs3Label additional.fields[5].key 直接對應 cs3Label 欄位。
cs4 additional.fields[0].value.string_value 直接對應至「cs4」欄位。金鑰衍生自「cs4Label」。
cs4Label additional.fields[0].key 直接對應 cs4Label 欄位。
cs5 additional.fields[2].value.string_value 直接對應至「cs5」欄位。金鑰衍生自「cs5Label」。
cs5Label additional.fields[2].key 直接對應 cs5Label 欄位。
cs6 additional.fields[7].value.string_value 直接對應至「cs6」欄位。金鑰衍生自「cs6Label」。
cs6Label additional.fields[7].key 直接對應 cs6Label 欄位。
deviceExternalId about.asset.asset_id 用於 asset_id 生成邏輯。這個欄位會預先填入「Trend Micro.Apex Central:」值。
deviceNtDomain about.administrative_domain 直接對應 deviceNtDomain 欄位。
devicePayloadId additional.fields[3].value.string_value 直接對應至「devicePayloadId」欄位。金鑰以硬式編碼寫成「devicePayloadId」。
deviceProcessName about.process.command_line 直接對應 deviceProcessName 欄位。
dhost target.hostname 直接對應 dhost 欄位。
dntdom target.administrative_domain 直接對應 dntdom 欄位。
dst target.ip 直接對應 dst 欄位。
duser target.user.useridtarget.user.user_display_name 直接對應 duser 欄位。
dvchost about.hostname 直接對應 dvchost 欄位。
fileHash about.file.full_path 直接對應 fileHash 欄位。
fname additional.fields[9].value.string_value 直接對應至「fname」欄位。索引鍵以硬式編碼方式指定為「fname」。
message metadata.product_event_type 系統會從郵件欄位擷取 CEF 標頭。
request target.url 直接對應 request 欄位。
rt metadata.event_timestamp 直接對應 rt 欄位。
shost principal.hostname 直接對應 shost 欄位。
src principal.ip 直接對應 src 欄位。
TMCMdevicePlatform principal.platform 根據剖析器中的邏輯對應。值會正規化為「WINDOWS」、「MAC」或「LINUX」。
TMCMLogDetectedHost principal.hostname 直接對應 TMCMLogDetectedHost 欄位。
TMCMLogDetectedIP principal.ip 直接對應至「TMCMLogDetectedIP」欄位。根據其他欄位是否存在,從剖析器邏輯衍生而來。可能的值為「USER_UNCATEGORIZED」、「STATUS_UPDATE」或「GENERIC_EVENT」。硬式編碼為「TRENDMICRO_APEX_ONE」。硬式編碼為「TRENDMICRO_APEX_ONE」。從 message 欄位的 CEF 標頭中擷取。已硬式編碼為「LOW」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。