Diese Seite wurde von der Cloud Translation API übersetzt.

Trend Micro Apex One-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die Trend Micro Apex One-Logs erfassen. Der Parser extrahiert Daten aus Syslog-Nachrichten, insbesondere aus Nachrichten, die mit Schlüssel/Wert-Paaren formatiert sind und das Präfix CEF: haben. Dabei werden reguläre Ausdrücke und bedingte Logik verwendet, um CEF-Felder dem UDM zuzuordnen. Ereignisse werden anhand von Nutzer- oder Systeminformationen kategorisiert und die Betriebssystemplattform wird ermittelt. Nachrichten, die nicht im CEF-Format vorliegen, werden verworfen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Sie benötigen Administratorzugriff auf die Apex Central-Konsole.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

    receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung in Trend Micro Apex One konfigurieren

Melden Sie sich mit Ihren Administratoranmeldedaten in der Apex Central-Konsole an:
Gehen Sie zu Administration> Einstellungen > Syslog-Einstellungen.
Klicken Sie das Kästchen mit der Bezeichnung Syslog-Weiterleitung aktivieren an.
Konfigurieren Sie die Syslog-Serverdetails:
- Serveradresse: Geben Sie die IP-Adresse oder den FQDN des Bindplane-Agents ein.
- Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514 für UDP.
- Protokoll: Wählen Sie UDP als Übertragungsprotokoll aus.
- Optional: Proxyeinstellungen konfigurieren: Setzen Sie ein Häkchen bei „SOCKS-Proxyserver verwenden“.
  
  Hinweis :Die Proxy-Einstellungen müssen unter Verwaltung > Einstellungen > Proxy-Einstellungen konfiguriert sein.
- Logformat: Wählen Sie CEF aus.
- Häufigkeit: Legen Sie fest, wie oft Protokolle an den Syslog-Server weitergeleitet werden.
- Log-Typ: Wählen Sie Sicherheitsprotokolle und Produktinformationen aus.
Klicken Sie auf Verbindung testen, um sicherzustellen, dass Apex Central mit dem Syslog-Server (Bindplane) kommunizieren kann.
Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`act`	`security_result.action_details`	Direkt aus dem Feld `act` zugeordnet.
`ApexCentralHost`	`about.asset.asset_id`	Wird als Teil der Logik zur Generierung von „asset_id“ verwendet. Dem Feld `deviceExternalId` wird der Wert „Trend Micro.Apex Central:“ vorangestellt.
`app`	`target.port`	Direkt aus dem Feld `app` zugeordnet.
`cat`	`security_result.category_details`	Direkt aus dem Feld `cat` zugeordnet.
`cn1`	`additional.fields[4].value.string_value`	Direkt aus dem Feld `cn1` zugeordnet. Der Schlüssel wird aus `cn1Label` abgeleitet.
`cn1Label`	`additional.fields[4].key`	Direkt aus dem Feld `cn1Label` zugeordnet.
`cn2`	`additional.fields[6].value.string_value`	Direkt aus dem Feld `cn2` zugeordnet. Der Schlüssel wird aus `cn2Label` abgeleitet.
`cn2Label`	`additional.fields[6].key`	Direkt aus dem Feld `cn2Label` zugeordnet.
`cn3`	`additional.fields[2].value.string_value`	Direkt aus dem Feld `cn3` zugeordnet. Der Schlüssel wird aus `cn3Label` abgeleitet.
`cn3Label`	`additional.fields[2].key`	Direkt aus dem Feld `cn3Label` zugeordnet.
`cs1`	`additional.fields[0].value.string_value`	Direkt aus dem Feld `cs1` zugeordnet. Der Schlüssel wird aus `cs1Label` abgeleitet.
`cs1Label`	`additional.fields[0].key`	Direkt aus dem Feld `cs1Label` zugeordnet.
`cs2`	`additional.fields[1].value.string_value`	Direkt aus dem Feld `cs2` zugeordnet. Der Schlüssel wird aus `cs2Label` abgeleitet.
`cs2Label`	`additional.fields[1].key`	Direkt aus dem Feld `cs2Label` zugeordnet.
`cs3`	`additional.fields[5].value.string_value`	Direkt aus dem Feld `cs3` zugeordnet. Der Schlüssel wird aus `cs3Label` abgeleitet.
`cs3Label`	`additional.fields[5].key`	Direkt aus dem Feld `cs3Label` zugeordnet.
`cs4`	`additional.fields[0].value.string_value`	Direkt aus dem Feld `cs4` zugeordnet. Der Schlüssel wird aus `cs4Label` abgeleitet.
`cs4Label`	`additional.fields[0].key`	Direkt aus dem Feld `cs4Label` zugeordnet.
`cs5`	`additional.fields[2].value.string_value`	Direkt aus dem Feld `cs5` zugeordnet. Der Schlüssel wird aus `cs5Label` abgeleitet.
`cs5Label`	`additional.fields[2].key`	Direkt aus dem Feld `cs5Label` zugeordnet.
`cs6`	`additional.fields[7].value.string_value`	Direkt aus dem Feld `cs6` zugeordnet. Der Schlüssel wird aus `cs6Label` abgeleitet.
`cs6Label`	`additional.fields[7].key`	Direkt aus dem Feld `cs6Label` zugeordnet.
`deviceExternalId`	`about.asset.asset_id`	Wird als Teil der Logik zur Generierung von „asset_id“ verwendet. Dem Feld wird der Wert „Trend Micro.Apex Central:“ vorangestellt.
`deviceNtDomain`	`about.administrative_domain`	Direkt aus dem Feld `deviceNtDomain` zugeordnet.
`devicePayloadId`	`additional.fields[3].value.string_value`	Direkt aus dem Feld `devicePayloadId` zugeordnet. Der Schlüssel ist als „devicePayloadId“ hartcodiert.
`deviceProcessName`	`about.process.command_line`	Direkt aus dem Feld `deviceProcessName` zugeordnet.
`dhost`	`target.hostname`	Direkt aus dem Feld `dhost` zugeordnet.
`dntdom`	`target.administrative_domain`	Direkt aus dem Feld `dntdom` zugeordnet.
`dst`	`target.ip`	Direkt aus dem Feld `dst` zugeordnet.
`duser`	`target.user.userid`, `target.user.user_display_name`	Direkt aus dem Feld `duser` zugeordnet.
`dvchost`	`about.hostname`	Direkt aus dem Feld `dvchost` zugeordnet.
`fileHash`	`about.file.full_path`	Direkt aus dem Feld `fileHash` zugeordnet.
`fname`	`additional.fields[9].value.string_value`	Direkt aus dem Feld `fname` zugeordnet. Der Schlüssel ist als „fname“ hartcodiert.
`message`	`metadata.product_event_type`	Der CEF-Header wird aus dem Nachrichtenfeld extrahiert.
`request`	`target.url`	Direkt aus dem Feld `request` zugeordnet.
`rt`	`metadata.event_timestamp`	Direkt aus dem Feld `rt` zugeordnet.
`shost`	`principal.hostname`	Direkt aus dem Feld `shost` zugeordnet.
`src`	`principal.ip`	Direkt aus dem Feld `src` zugeordnet.
`TMCMdevicePlatform`	`principal.platform`	Zuordnung basierend auf der Logik im Parser. Die Werte werden auf „WINDOWS“, „MAC“ oder „LINUX“ normalisiert.
`TMCMLogDetectedHost`	`principal.hostname`	Direkt aus dem Feld `TMCMLogDetectedHost` zugeordnet.
`TMCMLogDetectedIP`	`principal.ip`	Direkt aus dem Feld `TMCMLogDetectedIP` zugeordnet. Abgeleitet aus der Parserlogik basierend auf dem Vorhandensein anderer Felder. Mögliche Werte sind „USER_UNCATEGORIZED“, „STATUS_UPDATE“ oder „GENERIC_EVENT“. Fest codiert auf „TRENDMICRO_APEX_ONE“. Fest codiert auf „TRENDMICRO_APEX_ONE“. Aus dem CEF-Header im Feld `message` extrahiert. Fest codiert auf „LOW“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten