Coletar registros do Trend Micro Apex One
Este documento descreve como coletar os registros do Trend Micro Apex One. O analisador extrai dados de mensagens syslog, especificamente aquelas formatadas com pares de chave-valor e prefixadas com "CEF:". Ele usa expressões regulares e lógica condicional para mapear campos do CEF para o UDM, categorizando eventos com base na presença de informações do usuário ou do sistema e identificando a plataforma do sistema operacional. Mensagens formatadas que não são CEF são descartadas.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com
systemd
. - Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso administrativo ao console do Apex Central
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
- Para mais opções de instalação, consulte este guia de instalação.
Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele está no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Notepad).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_apex_one raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID de cliente real.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.
Reinicie o agente BindPlane para aplicar as mudanças.
No Linux, para reiniciar o agente BindPlane, execute o seguinte comando:
sudo systemctl restart bindplane-agent
No Windows, para reiniciar o agente BindPlane, use o console Services ou digite o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o encaminhamento de syslog no Trend Micro Apex One
- Faça login no console do Apex Central usando suas credenciais de administrador.
- Acesse Administração > Configurações > Configurações do Syslog.
- Marque a caixa Ativar encaminhamento de syslog.
Configure os detalhes do servidor Syslog:
- Endereço do servidor: insira o endereço IP ou FQDN do servidor Syslog (Bindplane).
- Porta: especifique o número da porta em que o servidor Syslog recebe conexões (Bindplane).
- Protocolo: selecione UDP como o protocolo de transmissão.
Opcional: Definir as configurações do proxy: marque Usar um servidor proxy SOCKS.
Formato de registro: selecione CEF.
Frequência: defina com que frequência os registros são encaminhados para o servidor Syslog.
Tipo de registro: selecione Registros de segurança e Informações do produto.
Clique em Testar conexão para garantir que o Apex Central possa se comunicar com o servidor Syslog (Bindplane).
Clique em Salvar para aplicar as configurações.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
act |
security_result.action_details |
Mapeado diretamente do campo act . |
ApexCentralHost |
about.asset.asset_id |
Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado ao campo deviceExternalId . |
app |
target.port |
Mapeado diretamente do campo app . |
cat |
security_result.category_details |
Mapeado diretamente do campo cat . |
cn1 |
additional.fields[4].value.string_value |
Mapeado diretamente do campo cn1 . A chave é derivada de cn1Label . |
cn1Label |
additional.fields[4].key |
Mapeado diretamente do campo cn1Label . |
cn2 |
additional.fields[6].value.string_value |
Mapeado diretamente do campo cn2 . A chave é derivada de cn2Label . |
cn2Label |
additional.fields[6].key |
Mapeado diretamente do campo cn2Label . |
cn3 |
additional.fields[2].value.string_value |
Mapeado diretamente do campo cn3 . A chave é derivada de cn3Label . |
cn3Label |
additional.fields[2].key |
Mapeado diretamente do campo cn3Label . |
cs1 |
additional.fields[0].value.string_value |
Mapeado diretamente do campo cs1 . A chave é derivada de cs1Label . |
cs1Label |
additional.fields[0].key |
Mapeado diretamente do campo cs1Label . |
cs2 |
additional.fields[1].value.string_value |
Mapeado diretamente do campo cs2 . A chave é derivada de cs2Label . |
cs2Label |
additional.fields[1].key |
Mapeado diretamente do campo cs2Label . |
cs3 |
additional.fields[5].value.string_value |
Mapeado diretamente do campo cs3 . A chave é derivada de cs3Label . |
cs3Label |
additional.fields[5].key |
Mapeado diretamente do campo cs3Label . |
cs4 |
additional.fields[0].value.string_value |
Mapeado diretamente do campo cs4 . A chave é derivada de cs4Label . |
cs4Label |
additional.fields[0].key |
Mapeado diretamente do campo cs4Label . |
cs5 |
additional.fields[2].value.string_value |
Mapeado diretamente do campo cs5 . A chave é derivada de cs5Label . |
cs5Label |
additional.fields[2].key |
Mapeado diretamente do campo cs5Label . |
cs6 |
additional.fields[7].value.string_value |
Mapeado diretamente do campo cs6 . A chave é derivada de cs6Label . |
cs6Label |
additional.fields[7].key |
Mapeado diretamente do campo cs6Label . |
deviceExternalId |
about.asset.asset_id |
Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado a esse campo. |
deviceNtDomain |
about.administrative_domain |
Mapeado diretamente do campo deviceNtDomain . |
devicePayloadId |
additional.fields[3].value.string_value |
Mapeado diretamente do campo devicePayloadId . A chave é codificada como "devicePayloadId". |
deviceProcessName |
about.process.command_line |
Mapeado diretamente do campo deviceProcessName . |
dhost |
target.hostname |
Mapeado diretamente do campo dhost . |
dntdom |
target.administrative_domain |
Mapeado diretamente do campo dntdom . |
dst |
target.ip |
Mapeado diretamente do campo dst . |
duser |
target.user.userid , target.user.user_display_name |
Mapeado diretamente do campo duser . |
dvchost |
about.hostname |
Mapeado diretamente do campo dvchost . |
fileHash |
about.file.full_path |
Mapeado diretamente do campo fileHash . |
fname |
additional.fields[9].value.string_value |
Mapeado diretamente do campo fname . A chave é codificada como "fname". |
message |
metadata.product_event_type |
O cabeçalho CEF é extraído do campo de mensagem. |
request |
target.url |
Mapeado diretamente do campo request . |
rt |
metadata.event_timestamp |
Mapeado diretamente do campo rt . |
shost |
principal.hostname |
Mapeado diretamente do campo shost . |
src |
principal.ip |
Mapeado diretamente do campo src . |
TMCMdevicePlatform |
principal.platform |
Mapeado com base na lógica no analisador. Os valores são normalizados como "WINDOWS", "MAC" ou "LINUX". |
TMCMLogDetectedHost |
principal.hostname |
Mapeado diretamente do campo TMCMLogDetectedHost . |
TMCMLogDetectedIP |
principal.ip |
Mapeado diretamente do campo TMCMLogDetectedIP . Derivado da lógica do analisador com base na presença de outros campos. Os valores possíveis são "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Fixado em "TRENDMICRO_APEX_ONE". Fixado em "TRENDMICRO_APEX_ONE". Extraídos do cabeçalho CEF no campo message . Fixado em "LOW". |
Alterações
2023-12-18
- Parser recém-criado.