Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Trend Micro Apex One

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Apex One. Parser mengekstrak data dari pesan syslog, khususnya yang diformat dengan key-value pair dan diawali dengan "CEF:". Fungsi ini menggunakan ekspresi reguler dan logika kondisional untuk memetakan kolom CEF ke UDM, mengategorikan peristiwa berdasarkan keberadaan informasi pengguna atau sistem, dan mengidentifikasi platform sistem operasi. Pesan berformat non-CEF akan dihapus.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses administratif ke konsol Apex Central

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi Penginstalan Tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen Bindplane untuk menerapkan perubahan

Di Linux, untuk memulai ulang Agen Bindplane, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Di Windows, untuk memulai ulang Agen Bindplane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di Trend Micro Apex One

Login ke konsol Apex Central menggunakan kredensial administrator Anda.
Buka Administrasi > Setelan > Setelan Syslog.
Centang kotak berlabel Enable syslog forwarding.
Konfigurasikan Detail Server Syslog:
- Alamat Server: masukkan alamat IP atau FQDN server Syslog (Bindplane).
- Port: tentukan nomor port yang diproses server Syslog (Bindplane).
- Protocol: pilih UDP sebagai protokol transmisi ().
- Opsional: Configure Proxy Settings: centang Use a SOCKS proxy server.
  
  Catatan: Pastikan setelan proxy dikonfigurasi di bagian Administrasi > Setelan > Setelan Proxy.
- Format Log: pilih CEF.
- Frekuensi: menentukan seberapa sering log diteruskan ke server Syslog.
- Jenis Log: pilih Log keamanan dan Informasi produk.
Klik Test Connection untuk memastikan Apex Central dapat berkomunikasi dengan server Syslog (Bindplane).
Klik Simpan untuk menerapkan setelan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`act`	`security_result.action_details`	Dipetakan langsung dari kolom `act`.
`ApexCentralHost`	`about.asset.asset_id`	Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom `deviceExternalId`.
`app`	`target.port`	Dipetakan langsung dari kolom `app`.
`cat`	`security_result.category_details`	Dipetakan langsung dari kolom `cat`.
`cn1`	`additional.fields[4].value.string_value`	Dipetakan langsung dari kolom `cn1`. Kunci berasal dari `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Dipetakan langsung dari kolom `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Dipetakan langsung dari kolom `cn2`. Kunci berasal dari `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Dipetakan langsung dari kolom `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Dipetakan langsung dari kolom `cn3`. Kunci berasal dari `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Dipetakan langsung dari kolom `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Dipetakan langsung dari kolom `cs1`. Kunci berasal dari `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Dipetakan langsung dari kolom `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Dipetakan langsung dari kolom `cs2`. Kunci berasal dari `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Dipetakan langsung dari kolom `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Dipetakan langsung dari kolom `cs3`. Kunci berasal dari `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Dipetakan langsung dari kolom `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Dipetakan langsung dari kolom `cs4`. Kunci berasal dari `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Dipetakan langsung dari kolom `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Dipetakan langsung dari kolom `cs5`. Kunci berasal dari `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Dipetakan langsung dari kolom `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Dipetakan langsung dari kolom `cs6`. Kunci berasal dari `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Dipetakan langsung dari kolom `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Digunakan sebagai bagian dari logika pembuatan asset_id. Nilai "Trend Micro.Apex Central:" ditambahkan di awal kolom ini.
`deviceNtDomain`	`about.administrative_domain`	Dipetakan langsung dari kolom `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Dipetakan langsung dari kolom `devicePayloadId`. Kunci di-hardcode sebagai "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Dipetakan langsung dari kolom `deviceProcessName`.
`dhost`	`target.hostname`	Dipetakan langsung dari kolom `dhost`.
`dntdom`	`target.administrative_domain`	Dipetakan langsung dari kolom `dntdom`.
`dst`	`target.ip`	Dipetakan langsung dari kolom `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Dipetakan langsung dari kolom `duser`.
`dvchost`	`about.hostname`	Dipetakan langsung dari kolom `dvchost`.
`fileHash`	`about.file.full_path`	Dipetakan langsung dari kolom `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Dipetakan langsung dari kolom `fname`. Kunci di-hardcode sebagai "fname".
`message`	`metadata.product_event_type`	Header CEF diekstrak dari kolom pesan.
`request`	`target.url`	Dipetakan langsung dari kolom `request`.
`rt`	`metadata.event_timestamp`	Dipetakan langsung dari kolom `rt`.
`shost`	`principal.hostname`	Dipetakan langsung dari kolom `shost`.
`src`	`principal.ip`	Dipetakan langsung dari kolom `src`.
`TMCMdevicePlatform`	`principal.platform`	Dipetakan berdasarkan logika dalam parser. Nilai dinormalisasi menjadi "WINDOWS", "MAC", atau "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Dipetakan langsung dari kolom `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Dipetakan langsung dari kolom `TMCMLogDetectedIP`. Berasal dari logika parser berdasarkan keberadaan kolom lain. Nilai yang mungkin adalah "USER_UNCATEGORIZED", "STATUS_UPDATE", atau "GENERIC_EVENT". Di-hardcode ke "TRENDMICRO_APEX_ONE". Di-hardcode ke "TRENDMICRO_APEX_ONE". Diekstrak dari header CEF di kolom `message`. Di-hardcode ke "LOW".

Perubahan

2023-12-18

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.