Raccogliere i log di Trend Micro Apex One

Supportato in:

Questo documento descrive come raccogliere i log di Trend Micro Apex One. L'analizzatore sintattico estrae i dati dai messaggi syslog, in particolare quelli formattati con coppie chiave-valore e con prefisso "CEF:". Utilizza espressioni regolari e logica condizionale per mappare i campi CEF all'UDM, classificare gli eventi in base alla presenza di informazioni utente o di sistema e identificare la piattaforma del sistema operativo. I messaggi non formattati in CEF vengono ignorati.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso amministrativo alla console Apex Central

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse di installazione aggiuntive

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: trendmicro_apex_one
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia BindPlane Agent per applicare le modifiche

  • In Linux, per riavviare BindPlane Agent, esegui il seguente comando:

    sudo systemctl restart bindplane-agent
    
  • In Windows, per riavviare l'agente BindPlane, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurare l'inoltro Syslog in Trend Micro Apex One

  1. Accedi alla console Apex Central utilizzando le tue credenziali di amministratore.
  2. Vai a Amministrazione > Impostazioni > Impostazioni Syslog.
  3. Seleziona la casella Attiva inoltro syslog.
  4. Configura Dettagli del server Syslog:

    • Indirizzo server: inserisci l'indirizzo IP o il FQDN del server Syslog (Bindplane).
    • Porta: specifica il numero di porta su cui il server Syslog è in ascolto (Bindplane).
    • Protocollo: seleziona UDP come protocollo di trasmissione ().
    • (Facoltativo) Configura le impostazioni del proxy: seleziona Utilizza un server proxy SOCKS.

    • Formato log: seleziona CEF.

    • Frequenza: definisci la frequenza con cui i log vengono inoltrati al server Syslog.

    • Tipo di log: seleziona Log di sicurezza e Informazioni sul prodotto.

  5. Fai clic su Test Connection (Verifica connessione) per assicurarti che Apex Central possa comunicare con il server Syslog (Bindplane).

  6. Fai clic su Salva per applicare le impostazioni.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
act security_result.action_details Mappato direttamente dal campo act.
ApexCentralHost about.asset.asset_id Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto al campo deviceExternalId.
app target.port Mappato direttamente dal campo app.
cat security_result.category_details Mappato direttamente dal campo cat.
cn1 additional.fields[4].value.string_value Mappato direttamente dal campo cn1. La chiave è ricavata da cn1Label.
cn1Label additional.fields[4].key Mappato direttamente dal campo cn1Label.
cn2 additional.fields[6].value.string_value Mappato direttamente dal campo cn2. La chiave è ricavata da cn2Label.
cn2Label additional.fields[6].key Mappato direttamente dal campo cn2Label.
cn3 additional.fields[2].value.string_value Mappato direttamente dal campo cn3. La chiave è ricavata da cn3Label.
cn3Label additional.fields[2].key Mappato direttamente dal campo cn3Label.
cs1 additional.fields[0].value.string_value Mappato direttamente dal campo cs1. La chiave è ricavata da cs1Label.
cs1Label additional.fields[0].key Mappato direttamente dal campo cs1Label.
cs2 additional.fields[1].value.string_value Mappato direttamente dal campo cs2. La chiave è ricavata da cs2Label.
cs2Label additional.fields[1].key Mappato direttamente dal campo cs2Label.
cs3 additional.fields[5].value.string_value Mappato direttamente dal campo cs3. La chiave è ricavata da cs3Label.
cs3Label additional.fields[5].key Mappato direttamente dal campo cs3Label.
cs4 additional.fields[0].value.string_value Mappato direttamente dal campo cs4. La chiave è ricavata da cs4Label.
cs4Label additional.fields[0].key Mappato direttamente dal campo cs4Label.
cs5 additional.fields[2].value.string_value Mappato direttamente dal campo cs5. La chiave è ricavata da cs5Label.
cs5Label additional.fields[2].key Mappato direttamente dal campo cs5Label.
cs6 additional.fields[7].value.string_value Mappato direttamente dal campo cs6. La chiave è ricavata da cs6Label.
cs6Label additional.fields[7].key Mappato direttamente dal campo cs6Label.
deviceExternalId about.asset.asset_id Utilizzato nell'ambito della logica di generazione di asset_id. Il valore "Trend Micro.Apex Central:" viene anteposto a questo campo.
deviceNtDomain about.administrative_domain Mappato direttamente dal campo deviceNtDomain.
devicePayloadId additional.fields[3].value.string_value Mappato direttamente dal campo devicePayloadId. La chiave è hardcoded come "devicePayloadId".
deviceProcessName about.process.command_line Mappato direttamente dal campo deviceProcessName.
dhost target.hostname Mappato direttamente dal campo dhost.
dntdom target.administrative_domain Mappato direttamente dal campo dntdom.
dst target.ip Mappato direttamente dal campo dst.
duser target.user.userid, target.user.user_display_name Mappato direttamente dal campo duser.
dvchost about.hostname Mappato direttamente dal campo dvchost.
fileHash about.file.full_path Mappato direttamente dal campo fileHash.
fname additional.fields[9].value.string_value Mappato direttamente dal campo fname. La chiave è hardcoded come "nome".
message metadata.product_event_type L'intestazione CEF viene estratta dal campo del messaggio.
request target.url Mappato direttamente dal campo request.
rt metadata.event_timestamp Mappato direttamente dal campo rt.
shost principal.hostname Mappato direttamente dal campo shost.
src principal.ip Mappato direttamente dal campo src.
TMCMdevicePlatform principal.platform Mappatura eseguita in base alla logica nel parser. I valori vengono normalizzati in "WINDOWS", "MAC" o "LINUX".
TMCMLogDetectedHost principal.hostname Mappato direttamente dal campo TMCMLogDetectedHost.
TMCMLogDetectedIP principal.ip Mappato direttamente dal campo TMCMLogDetectedIP. Derivato dalla logica del parser in base alla presenza di altri campi. I valori possibili sono "USER_UNCATEGORIZED", "STATUS_UPDATE" o "GENERIC_EVENT". Hardcoded su "TRENDMICRO_APEX_ONE". Hardcoded su "TRENDMICRO_APEX_ONE". Estratto dall'intestazione CEF nel campo message. Hardcoded su "LOW".

Modifiche

2023-12-18

  • Parser appena creato.