Collecter les journaux Trend Micro Apex One
Ce document explique comment collecter les journaux Trend Micro Apex One. L'analyseur extrait les données des messages syslog, en particulier ceux mis en forme avec des paires clé-valeur et précédés du préfixe "CEF:". Il utilise des expressions régulières et une logique conditionnelle pour mapper les champs CEF sur l'UDM, en catégorisant les événements en fonction de la présence d'informations utilisateur ou système, et en identifiant la plate-forme du système d'exploitation. Les messages au format autre que CEF sont supprimés.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec
systemd
. - Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès administrateur à la console Apex Central.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel BindPlane sera installé.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.
Installer l'agent BindPlane
Installation de Windows
- Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec des droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Autres ressources d'installation
- Pour plus d'options d'installation, consultez ce guide d'installation.
Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps
Accédez au fichier de configuration:
- Recherchez le fichier
config.yaml
. En règle générale, il se trouve dans le répertoire/etc/bindplane-agent/
sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (
nano
,vi
ou Bloc-notes, par exemple).
- Recherchez le fichier
Modifiez le fichier
config.yaml
comme suit :receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_apex_one raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.
Remplacez
<customer_id>
par le numéro client réel.Remplacez
/path/to/ingestion-authentication-file.json
par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.
Redémarrez l'agent BindPlane pour appliquer les modifications
Sous Linux, pour redémarrer l'agent BindPlane, exécutez la commande suivante:
sudo systemctl restart bindplane-agent
Sous Windows, pour redémarrer l'agent BindPlane, vous pouvez utiliser la console Services ou saisir la commande suivante:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurer le transfert syslog dans Trend Micro Apex One
- Connectez-vous à la console Apex Central à l'aide de vos identifiants administrateur.
- Accédez à Administration > Paramètres > Paramètres Syslog.
- Cochez la case Enable syslog forwarding (Activer le transfert syslog).
Configurez les détails du serveur Syslog:
- Adresse du serveur: saisissez l'adresse IP ou le nom de domaine complet du serveur syslog (Bindplane).
- Port: spécifiez le numéro de port sur lequel le serveur Syslog écoute (Bindplane).
- Protocole: sélectionnez UDP comme protocole de transmission ().
Facultatif: Configurer les paramètres de proxy: cochez Utiliser un serveur proxy SOCKS.
Format de journal: sélectionnez CEF.
Fréquence: définit la fréquence à laquelle les journaux sont transférés vers le serveur Syslog.
Type de journal: sélectionnez Journaux de sécurité et Informations sur le produit.
Cliquez sur Test Connection (Tester la connexion) pour vous assurer qu'Apex Central peut communiquer avec le serveur Syslog (Bindplane).
Cliquez sur Enregistrer pour appliquer les paramètres.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
act |
security_result.action_details |
Mappé directement à partir du champ act . |
ApexCentralHost |
about.asset.asset_id |
Utilisé dans la logique de génération de l'ID d'élément. La valeur "Trend Micro.Apex Central:" est ajoutée au début du champ deviceExternalId . |
app |
target.port |
Mappé directement à partir du champ app . |
cat |
security_result.category_details |
Mappé directement à partir du champ cat . |
cn1 |
additional.fields[4].value.string_value |
Mappé directement à partir du champ cn1 . La clé est dérivée de cn1Label . |
cn1Label |
additional.fields[4].key |
Mappé directement à partir du champ cn1Label . |
cn2 |
additional.fields[6].value.string_value |
Mappé directement à partir du champ cn2 . La clé est dérivée de cn2Label . |
cn2Label |
additional.fields[6].key |
Mappé directement à partir du champ cn2Label . |
cn3 |
additional.fields[2].value.string_value |
Mappé directement à partir du champ cn3 . La clé est dérivée de cn3Label . |
cn3Label |
additional.fields[2].key |
Mappé directement à partir du champ cn3Label . |
cs1 |
additional.fields[0].value.string_value |
Mappé directement à partir du champ cs1 . La clé est dérivée de cs1Label . |
cs1Label |
additional.fields[0].key |
Mappé directement à partir du champ cs1Label . |
cs2 |
additional.fields[1].value.string_value |
Mappé directement à partir du champ cs2 . La clé est dérivée de cs2Label . |
cs2Label |
additional.fields[1].key |
Mappé directement à partir du champ cs2Label . |
cs3 |
additional.fields[5].value.string_value |
Mappé directement à partir du champ cs3 . La clé est dérivée de cs3Label . |
cs3Label |
additional.fields[5].key |
Mappé directement à partir du champ cs3Label . |
cs4 |
additional.fields[0].value.string_value |
Mappé directement à partir du champ cs4 . La clé est dérivée de cs4Label . |
cs4Label |
additional.fields[0].key |
Mappé directement à partir du champ cs4Label . |
cs5 |
additional.fields[2].value.string_value |
Mappé directement à partir du champ cs5 . La clé est dérivée de cs5Label . |
cs5Label |
additional.fields[2].key |
Mappé directement à partir du champ cs5Label . |
cs6 |
additional.fields[7].value.string_value |
Mappé directement à partir du champ cs6 . La clé est dérivée de cs6Label . |
cs6Label |
additional.fields[7].key |
Mappé directement à partir du champ cs6Label . |
deviceExternalId |
about.asset.asset_id |
Utilisé dans la logique de génération de l'ID d'élément. La valeur "Trend Micro.Apex Central:" est ajoutée au début de ce champ. |
deviceNtDomain |
about.administrative_domain |
Mappé directement à partir du champ deviceNtDomain . |
devicePayloadId |
additional.fields[3].value.string_value |
Mappé directement à partir du champ devicePayloadId . La clé est codée en dur sous la forme "devicePayloadId". |
deviceProcessName |
about.process.command_line |
Mappé directement à partir du champ deviceProcessName . |
dhost |
target.hostname |
Mappé directement à partir du champ dhost . |
dntdom |
target.administrative_domain |
Mappé directement à partir du champ dntdom . |
dst |
target.ip |
Mappé directement à partir du champ dst . |
duser |
target.user.userid , target.user.user_display_name |
Mappé directement à partir du champ duser . |
dvchost |
about.hostname |
Mappé directement à partir du champ dvchost . |
fileHash |
about.file.full_path |
Mappé directement à partir du champ fileHash . |
fname |
additional.fields[9].value.string_value |
Mappé directement à partir du champ fname . La clé est codée en dur sous la forme "fname". |
message |
metadata.product_event_type |
L'en-tête CEF est extrait du champ de message. |
request |
target.url |
Mappé directement à partir du champ request . |
rt |
metadata.event_timestamp |
Mappé directement à partir du champ rt . |
shost |
principal.hostname |
Mappé directement à partir du champ shost . |
src |
principal.ip |
Mappé directement à partir du champ src . |
TMCMdevicePlatform |
principal.platform |
Mappé en fonction de la logique de l'analyseur. Les valeurs sont normalisées en "WINDOWS", "MAC" ou "LINUX". |
TMCMLogDetectedHost |
principal.hostname |
Mappé directement à partir du champ TMCMLogDetectedHost . |
TMCMLogDetectedIP |
principal.ip |
Mappé directement à partir du champ TMCMLogDetectedIP . Dérivé de la logique de l'analyseur en fonction de la présence d'autres champs. Les valeurs possibles sont "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Code codé en dur sur "TRENDMICRO_APEX_ONE". Code codé en dur sur "TRENDMICRO_APEX_ONE". Extrait de l'en-tête CEF dans le champ message . Valeur codée en dur sur "LOW". |
Modifications
2023-12-18
- Analyseur nouvellement créé.