Mengumpulkan log Trend Micro Apex One
Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Apex One. Parser mengekstrak data dari pesan syslog, khususnya yang diformat dengan key-value pair dan diawali dengan "CEF:". Fungsi ini menggunakan ekspresi reguler dan logika kondisional untuk memetakan kolom CEF ke UDM, mengategorikan peristiwa berdasarkan keberadaan informasi pengguna atau sistem, dan mengidentifikasi platform sistem operasi. Pesan berformat non-CEF akan dihapus.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd
. - Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses administratif ke konsol Apex Central
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen BindPlane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi Penginstalan Tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_apex_one raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID Pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang Agen BindPlane untuk menerapkan perubahan
Di Linux, untuk memulai ulang Agen BindPlane, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Di Windows, untuk memulai ulang Agen BindPlane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi penerusan Syslog di Trend Micro Apex One
- Login ke konsol Apex Central menggunakan kredensial administrator Anda.
- Buka Administrasi > Setelan > Setelan Syslog.
- Centang kotak berlabel Enable syslog forwarding.
Konfigurasikan Detail Server Syslog:
- Alamat Server: masukkan alamat IP atau FQDN server Syslog (Bindplane).
- Port: tentukan nomor port yang diproses server Syslog (Bindplane).
- Protocol: pilih UDP sebagai protokol transmisi ().
Opsional: Configure Proxy Settings: centang Use a SOCKS proxy server.
Format Log: pilih CEF.
Frekuensi: menentukan seberapa sering log diteruskan ke server Syslog.
Jenis Log: pilih Log keamanan dan Informasi produk.
Klik Test Connection untuk memastikan Apex Central dapat berkomunikasi dengan server Syslog (Bindplane).
Klik Simpan untuk menerapkan setelan.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
act |
security_result.action_details |
Dipetakan langsung dari kolom act . |
ApexCentralHost |
about.asset.asset_id |
Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom deviceExternalId . |
app |
target.port |
Dipetakan langsung dari kolom app . |
cat |
security_result.category_details |
Dipetakan langsung dari kolom cat . |
cn1 |
additional.fields[4].value.string_value |
Dipetakan langsung dari kolom cn1 . Kunci berasal dari cn1Label . |
cn1Label |
additional.fields[4].key |
Dipetakan langsung dari kolom cn1Label . |
cn2 |
additional.fields[6].value.string_value |
Dipetakan langsung dari kolom cn2 . Kunci berasal dari cn2Label . |
cn2Label |
additional.fields[6].key |
Dipetakan langsung dari kolom cn2Label . |
cn3 |
additional.fields[2].value.string_value |
Dipetakan langsung dari kolom cn3 . Kunci berasal dari cn3Label . |
cn3Label |
additional.fields[2].key |
Dipetakan langsung dari kolom cn3Label . |
cs1 |
additional.fields[0].value.string_value |
Dipetakan langsung dari kolom cs1 . Kunci berasal dari cs1Label . |
cs1Label |
additional.fields[0].key |
Dipetakan langsung dari kolom cs1Label . |
cs2 |
additional.fields[1].value.string_value |
Dipetakan langsung dari kolom cs2 . Kunci berasal dari cs2Label . |
cs2Label |
additional.fields[1].key |
Dipetakan langsung dari kolom cs2Label . |
cs3 |
additional.fields[5].value.string_value |
Dipetakan langsung dari kolom cs3 . Kunci berasal dari cs3Label . |
cs3Label |
additional.fields[5].key |
Dipetakan langsung dari kolom cs3Label . |
cs4 |
additional.fields[0].value.string_value |
Dipetakan langsung dari kolom cs4 . Kunci berasal dari cs4Label . |
cs4Label |
additional.fields[0].key |
Dipetakan langsung dari kolom cs4Label . |
cs5 |
additional.fields[2].value.string_value |
Dipetakan langsung dari kolom cs5 . Kunci berasal dari cs5Label . |
cs5Label |
additional.fields[2].key |
Dipetakan langsung dari kolom cs5Label . |
cs6 |
additional.fields[7].value.string_value |
Dipetakan langsung dari kolom cs6 . Kunci berasal dari cs6Label . |
cs6Label |
additional.fields[7].key |
Dipetakan langsung dari kolom cs6Label . |
deviceExternalId |
about.asset.asset_id |
Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom ini. |
deviceNtDomain |
about.administrative_domain |
Dipetakan langsung dari kolom deviceNtDomain . |
devicePayloadId |
additional.fields[3].value.string_value |
Dipetakan langsung dari kolom devicePayloadId . Kunci di-hardcode sebagai "devicePayloadId". |
deviceProcessName |
about.process.command_line |
Dipetakan langsung dari kolom deviceProcessName . |
dhost |
target.hostname |
Dipetakan langsung dari kolom dhost . |
dntdom |
target.administrative_domain |
Dipetakan langsung dari kolom dntdom . |
dst |
target.ip |
Dipetakan langsung dari kolom dst . |
duser |
target.user.userid , target.user.user_display_name |
Dipetakan langsung dari kolom duser . |
dvchost |
about.hostname |
Dipetakan langsung dari kolom dvchost . |
fileHash |
about.file.full_path |
Dipetakan langsung dari kolom fileHash . |
fname |
additional.fields[9].value.string_value |
Dipetakan langsung dari kolom fname . Kunci di-hardcode sebagai "fname". |
message |
metadata.product_event_type |
Header CEF diekstrak dari kolom pesan. |
request |
target.url |
Dipetakan langsung dari kolom request . |
rt |
metadata.event_timestamp |
Dipetakan langsung dari kolom rt . |
shost |
principal.hostname |
Dipetakan langsung dari kolom shost . |
src |
principal.ip |
Dipetakan langsung dari kolom src . |
TMCMdevicePlatform |
principal.platform |
Dipetakan berdasarkan logika dalam parser. Nilai dinormalisasi menjadi "WINDOWS", "MAC", atau "LINUX". |
TMCMLogDetectedHost |
principal.hostname |
Dipetakan langsung dari kolom TMCMLogDetectedHost . |
TMCMLogDetectedIP |
principal.ip |
Dipetakan langsung dari kolom TMCMLogDetectedIP . Berasal dari logika parser berdasarkan keberadaan kolom lain. Nilai yang mungkin adalah "USER_UNCATEGORIZED", "STATUS_UPDATE", atau "GENERIC_EVENT". Di-hardcode ke "TRENDMICRO_APEX_ONE". Di-hardcode ke "TRENDMICRO_APEX_ONE". Diekstrak dari header CEF di kolom message . Di-hardcode ke "LOW". |
Perubahan
2023-12-18
- Parser yang baru dibuat.