Coletar registros do Trend Micro Apex One

Compatível com:

Este documento descreve como coletar os registros do Trend Micro Apex One. O analisador extrai dados de mensagens syslog, especificamente aquelas formatadas com pares de chave-valor e prefixadas com "CEF:". Ele usa expressões regulares e lógica condicional para mapear campos do CEF para o UDM, categorizando eventos com base na presença de informações do usuário ou do sistema e identificando a plataforma do sistema operacional. Mensagens formatadas que não são CEF são descartadas.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso administrativo ao console do Apex Central

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: trendmicro_apex_one
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID de cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente BindPlane para aplicar as mudanças.

  • No Linux, para reiniciar o agente BindPlane, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • No Windows, para reiniciar o agente BindPlane, use o console Services ou digite o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o encaminhamento de syslog no Trend Micro Apex One

  1. Faça login no console do Apex Central usando suas credenciais de administrador.
  2. Acesse Administração > Configurações > Configurações do Syslog.
  3. Marque a caixa Ativar encaminhamento de syslog.
  4. Configure os detalhes do servidor Syslog:

    • Endereço do servidor: insira o endereço IP ou FQDN do servidor Syslog (Bindplane).
    • Porta: especifique o número da porta em que o servidor Syslog recebe conexões (Bindplane).
    • Protocolo: selecione UDP como o protocolo de transmissão.
    • Opcional: Definir as configurações do proxy: marque Usar um servidor proxy SOCKS.

    • Formato de registro: selecione CEF.

    • Frequência: defina com que frequência os registros são encaminhados para o servidor Syslog.

    • Tipo de registro: selecione Registros de segurança e Informações do produto.

  5. Clique em Testar conexão para garantir que o Apex Central possa se comunicar com o servidor Syslog (Bindplane).

  6. Clique em Salvar para aplicar as configurações.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
act security_result.action_details Mapeado diretamente do campo act.
ApexCentralHost about.asset.asset_id Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado ao campo deviceExternalId.
app target.port Mapeado diretamente do campo app.
cat security_result.category_details Mapeado diretamente do campo cat.
cn1 additional.fields[4].value.string_value Mapeado diretamente do campo cn1. A chave é derivada de cn1Label.
cn1Label additional.fields[4].key Mapeado diretamente do campo cn1Label.
cn2 additional.fields[6].value.string_value Mapeado diretamente do campo cn2. A chave é derivada de cn2Label.
cn2Label additional.fields[6].key Mapeado diretamente do campo cn2Label.
cn3 additional.fields[2].value.string_value Mapeado diretamente do campo cn3. A chave é derivada de cn3Label.
cn3Label additional.fields[2].key Mapeado diretamente do campo cn3Label.
cs1 additional.fields[0].value.string_value Mapeado diretamente do campo cs1. A chave é derivada de cs1Label.
cs1Label additional.fields[0].key Mapeado diretamente do campo cs1Label.
cs2 additional.fields[1].value.string_value Mapeado diretamente do campo cs2. A chave é derivada de cs2Label.
cs2Label additional.fields[1].key Mapeado diretamente do campo cs2Label.
cs3 additional.fields[5].value.string_value Mapeado diretamente do campo cs3. A chave é derivada de cs3Label.
cs3Label additional.fields[5].key Mapeado diretamente do campo cs3Label.
cs4 additional.fields[0].value.string_value Mapeado diretamente do campo cs4. A chave é derivada de cs4Label.
cs4Label additional.fields[0].key Mapeado diretamente do campo cs4Label.
cs5 additional.fields[2].value.string_value Mapeado diretamente do campo cs5. A chave é derivada de cs5Label.
cs5Label additional.fields[2].key Mapeado diretamente do campo cs5Label.
cs6 additional.fields[7].value.string_value Mapeado diretamente do campo cs6. A chave é derivada de cs6Label.
cs6Label additional.fields[7].key Mapeado diretamente do campo cs6Label.
deviceExternalId about.asset.asset_id Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado a esse campo.
deviceNtDomain about.administrative_domain Mapeado diretamente do campo deviceNtDomain.
devicePayloadId additional.fields[3].value.string_value Mapeado diretamente do campo devicePayloadId. A chave é codificada como "devicePayloadId".
deviceProcessName about.process.command_line Mapeado diretamente do campo deviceProcessName.
dhost target.hostname Mapeado diretamente do campo dhost.
dntdom target.administrative_domain Mapeado diretamente do campo dntdom.
dst target.ip Mapeado diretamente do campo dst.
duser target.user.userid, target.user.user_display_name Mapeado diretamente do campo duser.
dvchost about.hostname Mapeado diretamente do campo dvchost.
fileHash about.file.full_path Mapeado diretamente do campo fileHash.
fname additional.fields[9].value.string_value Mapeado diretamente do campo fname. A chave é codificada como "fname".
message metadata.product_event_type O cabeçalho CEF é extraído do campo de mensagem.
request target.url Mapeado diretamente do campo request.
rt metadata.event_timestamp Mapeado diretamente do campo rt.
shost principal.hostname Mapeado diretamente do campo shost.
src principal.ip Mapeado diretamente do campo src.
TMCMdevicePlatform principal.platform Mapeado com base na lógica no analisador. Os valores são normalizados como "WINDOWS", "MAC" ou "LINUX".
TMCMLogDetectedHost principal.hostname Mapeado diretamente do campo TMCMLogDetectedHost.
TMCMLogDetectedIP principal.ip Mapeado diretamente do campo TMCMLogDetectedIP. Derivado da lógica do analisador com base na presença de outros campos. Os valores possíveis são "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Fixado em "TRENDMICRO_APEX_ONE". Fixado em "TRENDMICRO_APEX_ONE". Extraídos do cabeçalho CEF no campo message. Fixado em "LOW".

Alterações

2023-12-18

  • Parser recém-criado.