Trend Micro Cloud One-Protokolle erfassen
Übersicht
Dieser Parser verarbeitet syslog- und JSON-formatierte Protokolle von Trend Micro Cloud One. Es extrahiert Schlüssel/Wert-Paare aus LEEF-formatierten Nachrichten, normalisiert Schweregradwerte, identifiziert Haupt- und Zielentitäten (IP, Hostname, Nutzer) und ordnet die Daten dem UDM-Schema zu. Wenn das LEEF-Format nicht erkannt wird, versucht der Parser, die Eingabe als JSON zu verarbeiten und die relevanten Felder entsprechend zu extrahieren.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für Trend Micro Cloud One.
- Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer mit BindPlane auf.
Bearbeiten Sie die Datei
config.yaml
so:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden. Verwenden Sie dazu den folgenden Befehl:
sudo systemctl bindplane restart
Syslog über Trend Micro Cloud One konfigurieren
- Gehen Sie zu Richtlinien > Gängige Objekte > Sonstiges > Syslog-Konfigurationen.
- Klicken Sie auf Neu > Neue Konfiguration > Allgemein.
- Geben Sie Werte für die folgenden Parameter an:
- Name: Eindeutiger Name, der die Konfiguration identifiziert (z. B. Google SecOps BindPlance-Server).
- Servername: Geben Sie die IP-Adresse des BindPlane-Agents ein.
- Serverport: Geben Sie den Port des BindPlane-Agents ein (z. B. 514).
- Transport: Wählen Sie UDP aus.
- Ereignisformat: Wählen Sie Syslog aus.
- Zeitzone in Ereignisse aufnehmen: Lassen Sie die Option deaktiviert.
- Facility: Art des Prozesses, dem Ereignisse zugeordnet werden.
- Agents sollen Logs weiterleiten: Wählen Sie Syslog-Server aus.
- Klicken Sie auf Speichern.
Systemereignisse in Trend Micro Cloud One exportieren
- Gehen Sie zu Verwaltung > Systemeinstellungen > Ereignisweiterleitung.
- Wählen Sie unter Systemereignisse an einen Remote-Computer weiterleiten (über Syslog) die Konfiguration aus, die Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Speichern.
Sicherheitsereignisse in Trend Micro Cloud One exportieren
- Gehen Sie zu Richtlinien.
- Klicken Sie auf die Richtlinie, die von den Computern verwendet wird.
- Gehen Sie zu Einstellungen > Ereignisweiterleitung.
- Häufigkeit der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Zeitraum zwischen dem Senden von Ereignissen aus und legen Sie fest, wie oft die Sicherheitsereignisse weitergeleitet werden sollen.
- Konfiguration der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Anti-Malware Syslog-Konfiguration und dann die im vorherigen Schritt erstellte Konfiguration aus.
- Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
handeln | security_result.action |
Wenn act „deny“ oder „block“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann BLOCK . Wenn act „pass“ oder „allow“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann ALLOW . Wenn act „update“ oder „rename“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann ALLOW_WITH_MODIFICATION . Wenn act „Quarantäne“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann QUARANTINE . Andernfalls UNKNOWN_ACTION . |
handeln | security_result.action_details |
Direkt zugeordnet. |
Katze | security_result.category_details |
Direkt zugeordnet. |
cn1 | target.asset_id |
Wenn cn1Label „Host-ID“ ist, wird „Host-ID:“ vorangestellt. |
Ab | metadata.description |
Direkt zugeordnet. |
dvchost | target.asset.hostname |
Direkt zugeordnet. |
dvchost | target.hostname |
Direkt zugeordnet. |
log_type | metadata.product_name |
Direkt zugeordnet. |
msg | security_result.description |
Direkt zugeordnet. |
Name | security_result.summary |
Direkt zugeordnet. |
Organisation | target.administrative_domain |
Direkt zugeordnet. |
proto | additional.fields.key |
Legen Sie „Protokoll“ fest, wenn das Feld „proto “ nicht in eine Ganzzahl umgewandelt werden kann. |
proto | additional.fields.value.string_value |
Direkt zugeordnet, wenn das Feld proto nicht in eine Ganzzahl umgewandelt werden kann. |
proto | network.ip_protocol |
Zuordnung mithilfe der parse_ip_protocol.include -Logik, die die Protokollnummer in den entsprechenden Namen umwandelt (z.B. „6“ wird zu „TCP“). |
product_version | metadata.product_version |
Direkt zugeordnet. |
sev | security_result.severity |
Wenn sev „0“, „1“, „2“, „3“ oder „niedrig“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann LOW . Wenn sev „4“, „5“, „6“ oder „mittel“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann MEDIUM . Wenn sev „7“, „8“ oder „high“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann HIGH . Wenn sev „9“, „10“ oder „sehr hoch“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann CRITICAL . |
sev | security_result.severity_details |
Direkt zugeordnet. |
src | principal.asset.hostname |
Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt. |
src | principal.asset.ip |
Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt. |
src | principal.hostname |
Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt. |
src | principal.ip |
Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt. |
TrendMicroDsTenant | security_result.detection_fields.key |
Legen Sie diesen Wert auf „TrendMicroDsTenant“ fest. |
TrendMicroDsTenant | security_result.detection_fields.value |
Direkt zugeordnet. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Legen Sie diesen Wert auf „TrendMicroDsTenantId“ fest. |
TrendMicroDsTenantId | security_result.detection_fields.value |
Direkt zugeordnet. |
usrName | principal.user.userid |
Direkt zugeordnet. Wenn has_principal und has_target wahr sind, dann NETWORK_CONNECTION . Andernfalls, wenn has_principal wahr ist, STATUS_UPDATE . Andernfalls, wenn has_target wahr und has_principal falsch ist, dann USER_UNCATEGORIZED . Andernfalls GENERIC_EVENT . Wird auf AUTHTYPE_UNSPECIFIED gesetzt, wenn event_type gleich USER_UNCATEGORIZED ist. Legen Sie „true“ fest, wenn eine Haupt-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Legen Sie „true“ fest, wenn eine Ziel-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Entspricht dem Zeitstempel des Ereignisses auf oberster Ebene. Legen Sie diesen Wert auf „Trend Micro“ fest. |
Änderungen
2024-04-29
- Neu erstellter Parser.