Trend Micro Apex One のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Trend Micro Apex One のログを収集する方法について説明します。パーサーは、syslog メッセージからデータを抽出します。特に、Key-Value ペアでフォーマットされ、接頭辞が「CEF:」のメッセージからデータを抽出します。正規表現と条件付きロジックを使用して CEF フィールドを UDM にマッピングし、ユーザー情報またはシステム情報の有無に基づいてイベントを分類し、オペレーティングシステムプラットフォームを特定します。CEF 形式以外のメッセージは破棄されます。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Apex Central コンソールへの管理者権限があることを確認する

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows のインストール

管理者として [コマンドプロンプト] または [PowerShell] を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_apex_one
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

インフラストラクチャの要件に応じてポートと IP アドレスを置き換えます。
<customer_id> は実際のお客様 ID に置き換えます。
[Google SecOps 取り込み認証ファイルを取得する] セクションで、/path/to/ingestion-authentication-file.json を認証ファイルが保存されているパスに更新します。

BindPlane Agent を再起動して変更を適用する

Linux で BindPlane Agent を再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で BindPlane Agent を再起動するには、[サービス] コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Trend Micro Apex One で Syslog 転送を構成する

管理者認証情報を使用して Apex Central コンソールにログインします。
[管理] > [設定] > [Syslog の設定] に移動します。
[Syslog 転送を有効にする] チェックボックスをオンにします。
[Syslog サーバーの詳細]（Syslog サーバー情報）を設定します。
- サーバーアドレス: Syslog サーバー（Bindplane）の IP アドレスまたは FQDN を入力します。
- ポート: Syslog サーバーがリッスンするポート番号（Bindplane）を指定します。
- プロトコル: 転送プロトコルとして [UDP] を選択します。
- 省略可: [プロキシ設定を構成する] で、[SOCKS プロキシサーバーを使用] をオンにします。
  
  注: [管理] > [設定] > [プロキシ設定] でプロキシ設定が構成されていることを確認してください。
- ログ形式: [CEF] を選択します。
- 頻度: ログが Syslog サーバーに転送される頻度を定義します。
- ログタイプ: [セキュリティログ] と [プロダクト情報] を選択します。
[接続をテスト] をクリックして、Apex Central が Syslog サーバー（Bindplane）と通信できることを確認します。
[保存] をクリックして設定を適用します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`act`	`security_result.action_details`	`act` フィールドから直接マッピングされます。
`ApexCentralHost`	`about.asset.asset_id`	asset_id 生成ロジックの一部として使用されます。`deviceExternalId` フィールドの先頭に「Trend Micro.Apex Central:」という値が付加されます。
`app`	`target.port`	`app` フィールドから直接マッピングされます。
`cat`	`security_result.category_details`	`cat` フィールドから直接マッピングされます。
`cn1`	`additional.fields[4].value.string_value`	`cn1` フィールドから直接マッピングされます。キーは `cn1Label` から取得されます。
`cn1Label`	`additional.fields[4].key`	`cn1Label` フィールドから直接マッピングされます。
`cn2`	`additional.fields[6].value.string_value`	`cn2` フィールドから直接マッピングされます。キーは `cn2Label` から取得されます。
`cn2Label`	`additional.fields[6].key`	`cn2Label` フィールドから直接マッピングされます。
`cn3`	`additional.fields[2].value.string_value`	`cn3` フィールドから直接マッピングされます。キーは `cn3Label` から取得されます。
`cn3Label`	`additional.fields[2].key`	`cn3Label` フィールドから直接マッピングされます。
`cs1`	`additional.fields[0].value.string_value`	`cs1` フィールドから直接マッピングされます。キーは `cs1Label` から取得されます。
`cs1Label`	`additional.fields[0].key`	`cs1Label` フィールドから直接マッピングされます。
`cs2`	`additional.fields[1].value.string_value`	`cs2` フィールドから直接マッピングされます。キーは `cs2Label` から取得されます。
`cs2Label`	`additional.fields[1].key`	`cs2Label` フィールドから直接マッピングされます。
`cs3`	`additional.fields[5].value.string_value`	`cs3` フィールドから直接マッピングされます。キーは `cs3Label` から取得されます。
`cs3Label`	`additional.fields[5].key`	`cs3Label` フィールドから直接マッピングされます。
`cs4`	`additional.fields[0].value.string_value`	`cs4` フィールドから直接マッピングされます。キーは `cs4Label` から取得されます。
`cs4Label`	`additional.fields[0].key`	`cs4Label` フィールドから直接マッピングされます。
`cs5`	`additional.fields[2].value.string_value`	`cs5` フィールドから直接マッピングされます。キーは `cs5Label` から取得されます。
`cs5Label`	`additional.fields[2].key`	`cs5Label` フィールドから直接マッピングされます。
`cs6`	`additional.fields[7].value.string_value`	`cs6` フィールドから直接マッピングされます。キーは `cs6Label` から取得されます。
`cs6Label`	`additional.fields[7].key`	`cs6Label` フィールドから直接マッピングされます。
`deviceExternalId`	`about.asset.asset_id`	asset_id 生成ロジックの一部として使用されます。このフィールドの先頭に「Trend Micro.Apex Central:」という値が付加されます。
`deviceNtDomain`	`about.administrative_domain`	`deviceNtDomain` フィールドから直接マッピングされます。
`devicePayloadId`	`additional.fields[3].value.string_value`	`devicePayloadId` フィールドから直接マッピングされます。キーは「devicePayloadId」としてハードコードされています。
`deviceProcessName`	`about.process.command_line`	`deviceProcessName` フィールドから直接マッピングされます。
`dhost`	`target.hostname`	`dhost` フィールドから直接マッピングされます。
`dntdom`	`target.administrative_domain`	`dntdom` フィールドから直接マッピングされます。
`dst`	`target.ip`	`dst` フィールドから直接マッピングされます。
`duser`	`target.user.userid`、`target.user.user_display_name`	`duser` フィールドから直接マッピングされます。
`dvchost`	`about.hostname`	`dvchost` フィールドから直接マッピングされます。
`fileHash`	`about.file.full_path`	`fileHash` フィールドから直接マッピングされます。
`fname`	`additional.fields[9].value.string_value`	`fname` フィールドから直接マッピングされます。キーは「fname」としてハードコードされています。
`message`	`metadata.product_event_type`	CEF ヘッダーはメッセージフィールドから抽出されます。
`request`	`target.url`	`request` フィールドから直接マッピングされます。
`rt`	`metadata.event_timestamp`	`rt` フィールドから直接マッピングされます。
`shost`	`principal.hostname`	`shost` フィールドから直接マッピングされます。
`src`	`principal.ip`	`src` フィールドから直接マッピングされます。
`TMCMdevicePlatform`	`principal.platform`	パーサーのロジックに基づいてマッピングされます。値は「WINDOWS」、「MAC」、「LINUX」に正規化されます。
`TMCMLogDetectedHost`	`principal.hostname`	`TMCMLogDetectedHost` フィールドから直接マッピングされます。
`TMCMLogDetectedIP`	`principal.ip`	`TMCMLogDetectedIP` フィールドから直接マッピングされます。他のフィールドの有無に基づいてパーサーロジックから取得されます。有効な値は「USER_UNCATEGORIZED」、「STATUS_UPDATE」、「GENERIC_EVENT」です。「TRENDMICRO_APEX_ONE」にハードコードされています。「TRENDMICRO_APEX_ONE」にハードコードされています。CEF ヘッダーの `message` フィールドから抽出されます。「LOW」にハードコードされています。

変更

2023-12-18

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。