Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Trend Micro Apex One

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di Trend Micro Apex One. L'analizzatore sintattico estrae i dati dai messaggi syslog, in particolare quelli formattati con coppie chiave-valore e con prefisso "CEF:". Utilizza espressioni regolari e logica condizionale per mappare i campi CEF all'UDM, classificare gli eventi in base alla presenza di informazioni utente o di sistema e identificare la piattaforma del sistema operativo. I messaggi non formattati in CEF vengono ignorati.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso amministrativo alla console Apex Central

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia BindPlane Agent per applicare le modifiche

In Linux, per riavviare BindPlane Agent, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'inoltro Syslog in Trend Micro Apex One

Accedi alla console Apex Central utilizzando le tue credenziali di amministratore.
Vai a Amministrazione > Impostazioni > Impostazioni Syslog.
Seleziona la casella Attiva inoltro syslog.
Configura Dettagli del server Syslog:
- Indirizzo server: inserisci l'indirizzo IP o il FQDN del server Syslog (Bindplane).
- Porta: specifica il numero di porta su cui il server Syslog è in ascolto (Bindplane).
- Protocollo: seleziona UDP come protocollo di trasmissione ().
- (Facoltativo) Configura le impostazioni del proxy: seleziona Utilizza un server proxy SOCKS.
  
  Nota: assicurati che le impostazioni del proxy siano configurate in Amministrazione > Impostazioni > Impostazioni proxy.
- Formato log: seleziona CEF.
- Frequenza: definisci la frequenza con cui i log vengono inoltrati al server Syslog.
- Tipo di log: seleziona Log di sicurezza e Informazioni sul prodotto.
Fai clic su Test Connection (Verifica connessione) per assicurarti che Apex Central possa comunicare con il server Syslog (Bindplane).
Fai clic su Salva per applicare le impostazioni.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`act`	`security_result.action_details`	Mappato direttamente dal campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto al campo `deviceExternalId`.
`app`	`target.port`	Mappato direttamente dal campo `app`.
`cat`	`security_result.category_details`	Mappato direttamente dal campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mappato direttamente dal campo `cn1`. La chiave è ricavata da `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mappato direttamente dal campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mappato direttamente dal campo `cn2`. La chiave è ricavata da `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mappato direttamente dal campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cn3`. La chiave è ricavata da `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs1`. La chiave è ricavata da `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mappato direttamente dal campo `cs2`. La chiave è ricavata da `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mappato direttamente dal campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mappato direttamente dal campo `cs3`. La chiave è ricavata da `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mappato direttamente dal campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mappato direttamente dal campo `cs4`. La chiave è ricavata da `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mappato direttamente dal campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mappato direttamente dal campo `cs5`. La chiave è ricavata da `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mappato direttamente dal campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mappato direttamente dal campo `cs6`. La chiave è ricavata da `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mappato direttamente dal campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto a questo campo.
`deviceNtDomain`	`about.administrative_domain`	Mappato direttamente dal campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mappato direttamente dal campo `devicePayloadId`. La chiave è hardcoded come "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mappato direttamente dal campo `deviceProcessName`.
`dhost`	`target.hostname`	Mappato direttamente dal campo `dhost`.
`dntdom`	`target.administrative_domain`	Mappato direttamente dal campo `dntdom`.
`dst`	`target.ip`	Mappato direttamente dal campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mappato direttamente dal campo `duser`.
`dvchost`	`about.hostname`	Mappato direttamente dal campo `dvchost`.
`fileHash`	`about.file.full_path`	Mappato direttamente dal campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mappato direttamente dal campo `fname`. La chiave è hardcoded come "nome".
`message`	`metadata.product_event_type`	L'intestazione CEF viene estratta dal campo del messaggio.
`request`	`target.url`	Mappato direttamente dal campo `request`.
`rt`	`metadata.event_timestamp`	Mappato direttamente dal campo `rt`.
`shost`	`principal.hostname`	Mappato direttamente dal campo `shost`.
`src`	`principal.ip`	Mappato direttamente dal campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mappatura eseguita in base alla logica nel parser. I valori vengono normalizzati in "WINDOWS", "MAC" o "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mappato direttamente dal campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mappato direttamente dal campo `TMCMLogDetectedIP`. Derivato dalla logica del parser in base alla presenza di altri campi. I valori possibili sono "USER_UNCATEGORIZED", "STATUS_UPDATE" o "GENERIC_EVENT". Hardcoded su "TRENDMICRO_APEX_ONE". Hardcoded su "TRENDMICRO_APEX_ONE". Estratto dall'intestazione CEF nel campo `message`. Hardcoded su "LOW".

Modifiche

2023-12-18

Parser appena creato.