Raccogliere i log di Trend Micro Apex One
Questo documento descrive come raccogliere i log di Trend Micro Apex One. L'analizzatore sintattico estrae i dati dai messaggi syslog, in particolare quelli formattati con coppie chiave-valore e con prefisso "CEF:". Utilizza espressioni regolari e logica condizionale per mappare i campi CEF all'UDM, classificare gli eventi in base alla presenza di informazioni utente o di sistema e identificare la piattaforma del sistema operativo. I messaggi non formattati in CEF vengono ignorati.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con
systemd
. - Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso amministrativo alla console Apex Central
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse di installazione aggiuntive
- Per altre opzioni di installazione, consulta questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_apex_one raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci
<customer_id>
con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.json
con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.
Riavvia BindPlane Agent per applicare le modifiche
In Linux, per riavviare BindPlane Agent, esegui il seguente comando:
sudo systemctl restart bindplane-agent
In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare l'inoltro Syslog in Trend Micro Apex One
- Accedi alla console Apex Central utilizzando le tue credenziali di amministratore.
- Vai a Amministrazione > Impostazioni > Impostazioni Syslog.
- Seleziona la casella Attiva inoltro syslog.
Configura Dettagli del server Syslog:
- Indirizzo server: inserisci l'indirizzo IP o il FQDN del server Syslog (Bindplane).
- Porta: specifica il numero di porta su cui il server Syslog è in ascolto (Bindplane).
- Protocollo: seleziona UDP come protocollo di trasmissione ().
(Facoltativo) Configura le impostazioni del proxy: seleziona Utilizza un server proxy SOCKS.
Formato log: seleziona CEF.
Frequenza: definisci la frequenza con cui i log vengono inoltrati al server Syslog.
Tipo di log: seleziona Log di sicurezza e Informazioni sul prodotto.
Fai clic su Test Connection (Verifica connessione) per assicurarti che Apex Central possa comunicare con il server Syslog (Bindplane).
Fai clic su Salva per applicare le impostazioni.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
act |
security_result.action_details |
Mappato direttamente dal campo act . |
ApexCentralHost |
about.asset.asset_id |
Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto al campo deviceExternalId . |
app |
target.port |
Mappato direttamente dal campo app . |
cat |
security_result.category_details |
Mappato direttamente dal campo cat . |
cn1 |
additional.fields[4].value.string_value |
Mappato direttamente dal campo cn1 . La chiave è ricavata da cn1Label . |
cn1Label |
additional.fields[4].key |
Mappato direttamente dal campo cn1Label . |
cn2 |
additional.fields[6].value.string_value |
Mappato direttamente dal campo cn2 . La chiave è ricavata da cn2Label . |
cn2Label |
additional.fields[6].key |
Mappato direttamente dal campo cn2Label . |
cn3 |
additional.fields[2].value.string_value |
Mappato direttamente dal campo cn3 . La chiave è ricavata da cn3Label . |
cn3Label |
additional.fields[2].key |
Mappato direttamente dal campo cn3Label . |
cs1 |
additional.fields[0].value.string_value |
Mappato direttamente dal campo cs1 . La chiave è ricavata da cs1Label . |
cs1Label |
additional.fields[0].key |
Mappato direttamente dal campo cs1Label . |
cs2 |
additional.fields[1].value.string_value |
Mappato direttamente dal campo cs2 . La chiave è ricavata da cs2Label . |
cs2Label |
additional.fields[1].key |
Mappato direttamente dal campo cs2Label . |
cs3 |
additional.fields[5].value.string_value |
Mappato direttamente dal campo cs3 . La chiave è ricavata da cs3Label . |
cs3Label |
additional.fields[5].key |
Mappato direttamente dal campo cs3Label . |
cs4 |
additional.fields[0].value.string_value |
Mappato direttamente dal campo cs4 . La chiave è ricavata da cs4Label . |
cs4Label |
additional.fields[0].key |
Mappato direttamente dal campo cs4Label . |
cs5 |
additional.fields[2].value.string_value |
Mappato direttamente dal campo cs5 . La chiave è ricavata da cs5Label . |
cs5Label |
additional.fields[2].key |
Mappato direttamente dal campo cs5Label . |
cs6 |
additional.fields[7].value.string_value |
Mappato direttamente dal campo cs6 . La chiave è ricavata da cs6Label . |
cs6Label |
additional.fields[7].key |
Mappato direttamente dal campo cs6Label . |
deviceExternalId |
about.asset.asset_id |
Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto a questo campo. |
deviceNtDomain |
about.administrative_domain |
Mappato direttamente dal campo deviceNtDomain . |
devicePayloadId |
additional.fields[3].value.string_value |
Mappato direttamente dal campo devicePayloadId . La chiave è hardcoded come "devicePayloadId". |
deviceProcessName |
about.process.command_line |
Mappato direttamente dal campo deviceProcessName . |
dhost |
target.hostname |
Mappato direttamente dal campo dhost . |
dntdom |
target.administrative_domain |
Mappato direttamente dal campo dntdom . |
dst |
target.ip |
Mappato direttamente dal campo dst . |
duser |
target.user.userid , target.user.user_display_name |
Mappato direttamente dal campo duser . |
dvchost |
about.hostname |
Mappato direttamente dal campo dvchost . |
fileHash |
about.file.full_path |
Mappato direttamente dal campo fileHash . |
fname |
additional.fields[9].value.string_value |
Mappato direttamente dal campo fname . La chiave è hardcoded come "nome". |
message |
metadata.product_event_type |
L'intestazione CEF viene estratta dal campo del messaggio. |
request |
target.url |
Mappato direttamente dal campo request . |
rt |
metadata.event_timestamp |
Mappato direttamente dal campo rt . |
shost |
principal.hostname |
Mappato direttamente dal campo shost . |
src |
principal.ip |
Mappato direttamente dal campo src . |
TMCMdevicePlatform |
principal.platform |
Mappatura eseguita in base alla logica nel parser. I valori vengono normalizzati in "WINDOWS", "MAC" o "LINUX". |
TMCMLogDetectedHost |
principal.hostname |
Mappato direttamente dal campo TMCMLogDetectedHost . |
TMCMLogDetectedIP |
principal.ip |
Mappato direttamente dal campo TMCMLogDetectedIP . Derivato dalla logica del parser in base alla presenza di altri campi. I valori possibili sono "USER_UNCATEGORIZED", "STATUS_UPDATE" o "GENERIC_EVENT". Hardcoded su "TRENDMICRO_APEX_ONE". Hardcoded su "TRENDMICRO_APEX_ONE". Estratto dall'intestazione CEF nel campo message . Hardcoded su "LOW". |
Modifiche
2023-12-18
- Parser appena creato.