Mengumpulkan log Trend Micro Apex One

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Apex One. Parser mengekstrak data dari pesan syslog, khususnya yang diformat dengan key-value pair dan diawali dengan "CEF:". Fungsi ini menggunakan ekspresi reguler dan logika kondisional untuk memetakan kolom CEF ke UDM, mengategorikan peristiwa berdasarkan keberadaan informasi pengguna atau sistem, dan mengidentifikasi platform sistem operasi. Pesan berformat non-CEF akan dihapus.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses administratif ke konsol Apex Central

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi Penginstalan Tambahan

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses file konfigurasi:

    • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID Pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen BindPlane untuk menerapkan perubahan

  • Di Linux, untuk memulai ulang Agen BindPlane, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Di Windows, untuk memulai ulang Agen BindPlane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi penerusan Syslog di Trend Micro Apex One

  1. Login ke konsol Apex Central menggunakan kredensial administrator Anda.
  2. Buka Administrasi > Setelan > Setelan Syslog.
  3. Centang kotak berlabel Enable syslog forwarding.

  4. Konfigurasikan Detail Server Syslog:

    • Alamat Server: masukkan alamat IP atau FQDN server Syslog (Bindplane).
    • Port: tentukan nomor port yang diproses server Syslog (Bindplane).
    • Protocol: pilih UDP sebagai protokol transmisi ().

    • Opsional: Configure Proxy Settings: centang Use a SOCKS proxy server.

    • Format Log: pilih CEF.

    • Frekuensi: menentukan seberapa sering log diteruskan ke server Syslog.

    • Jenis Log: pilih Log keamanan dan Informasi produk.

  5. Klik Test Connection untuk memastikan Apex Central dapat berkomunikasi dengan server Syslog (Bindplane).

  6. Klik Simpan untuk menerapkan setelan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
act security_result.action_details Dipetakan langsung dari kolom act.
ApexCentralHost about.asset.asset_id Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom deviceExternalId.
app target.port Dipetakan langsung dari kolom app.
cat security_result.category_details Dipetakan langsung dari kolom cat.
cn1 additional.fields[4].value.string_value Dipetakan langsung dari kolom cn1. Kunci berasal dari cn1Label.
cn1Label additional.fields[4].key Dipetakan langsung dari kolom cn1Label.
cn2 additional.fields[6].value.string_value Dipetakan langsung dari kolom cn2. Kunci berasal dari cn2Label.
cn2Label additional.fields[6].key Dipetakan langsung dari kolom cn2Label.
cn3 additional.fields[2].value.string_value Dipetakan langsung dari kolom cn3. Kunci berasal dari cn3Label.
cn3Label additional.fields[2].key Dipetakan langsung dari kolom cn3Label.
cs1 additional.fields[0].value.string_value Dipetakan langsung dari kolom cs1. Kunci berasal dari cs1Label.
cs1Label additional.fields[0].key Dipetakan langsung dari kolom cs1Label.
cs2 additional.fields[1].value.string_value Dipetakan langsung dari kolom cs2. Kunci berasal dari cs2Label.
cs2Label additional.fields[1].key Dipetakan langsung dari kolom cs2Label.
cs3 additional.fields[5].value.string_value Dipetakan langsung dari kolom cs3. Kunci berasal dari cs3Label.
cs3Label additional.fields[5].key Dipetakan langsung dari kolom cs3Label.
cs4 additional.fields[0].value.string_value Dipetakan langsung dari kolom cs4. Kunci berasal dari cs4Label.
cs4Label additional.fields[0].key Dipetakan langsung dari kolom cs4Label.
cs5 additional.fields[2].value.string_value Dipetakan langsung dari kolom cs5. Kunci berasal dari cs5Label.
cs5Label additional.fields[2].key Dipetakan langsung dari kolom cs5Label.
cs6 additional.fields[7].value.string_value Dipetakan langsung dari kolom cs6. Kunci berasal dari cs6Label.
cs6Label additional.fields[7].key Dipetakan langsung dari kolom cs6Label.
deviceExternalId about.asset.asset_id Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom ini.
deviceNtDomain about.administrative_domain Dipetakan langsung dari kolom deviceNtDomain.
devicePayloadId additional.fields[3].value.string_value Dipetakan langsung dari kolom devicePayloadId. Kunci di-hardcode sebagai "devicePayloadId".
deviceProcessName about.process.command_line Dipetakan langsung dari kolom deviceProcessName.
dhost target.hostname Dipetakan langsung dari kolom dhost.
dntdom target.administrative_domain Dipetakan langsung dari kolom dntdom.
dst target.ip Dipetakan langsung dari kolom dst.
duser target.user.userid, target.user.user_display_name Dipetakan langsung dari kolom duser.
dvchost about.hostname Dipetakan langsung dari kolom dvchost.
fileHash about.file.full_path Dipetakan langsung dari kolom fileHash.
fname additional.fields[9].value.string_value Dipetakan langsung dari kolom fname. Kunci di-hardcode sebagai "fname".
message metadata.product_event_type Header CEF diekstrak dari kolom pesan.
request target.url Dipetakan langsung dari kolom request.
rt metadata.event_timestamp Dipetakan langsung dari kolom rt.
shost principal.hostname Dipetakan langsung dari kolom shost.
src principal.ip Dipetakan langsung dari kolom src.
TMCMdevicePlatform principal.platform Dipetakan berdasarkan logika dalam parser. Nilai dinormalisasi menjadi "WINDOWS", "MAC", atau "LINUX".
TMCMLogDetectedHost principal.hostname Dipetakan langsung dari kolom TMCMLogDetectedHost.
TMCMLogDetectedIP principal.ip Dipetakan langsung dari kolom TMCMLogDetectedIP. Berasal dari logika parser berdasarkan keberadaan kolom lain. Nilai yang mungkin adalah "USER_UNCATEGORIZED", "STATUS_UPDATE", atau "GENERIC_EVENT". Di-hardcode ke "TRENDMICRO_APEX_ONE". Di-hardcode ke "TRENDMICRO_APEX_ONE". Diekstrak dari header CEF di kolom message. Di-hardcode ke "LOW".

Perubahan

2023-12-18

  • Parser yang baru dibuat.