Trend Micro Cloud One-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet syslog- und JSON-formatierte Protokolle von Trend Micro Cloud One. Es extrahiert Schlüssel/Wert-Paare aus LEEF-formatierten Nachrichten, normalisiert Schweregradwerte, identifiziert Haupt- und Zielentitäten (IP, Hostname, Nutzer) und ordnet die Daten dem UDM-Schema zu. Wenn das LEEF-Format nicht erkannt wird, versucht der Parser, die Eingabe als JSON zu verarbeiten und die relevanten Felder entsprechend zu extrahieren.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Trend Micro Cloud One.
  • Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Führen Sie für die Linux-Installation das folgende Script aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer mit BindPlane auf.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden. Verwenden Sie dazu den folgenden Befehl: sudo systemctl bindplane restart

Syslog über Trend Micro Cloud One konfigurieren

  1. Gehen Sie zu Richtlinien > Gängige Objekte > Sonstiges > Syslog-Konfigurationen.
  2. Klicken Sie auf Neu > Neue Konfiguration > Allgemein.
  3. Geben Sie Werte für die folgenden Parameter an:
    • Name: Eindeutiger Name, der die Konfiguration identifiziert (z. B. Google SecOps BindPlance-Server).
    • Servername: Geben Sie die IP-Adresse des BindPlane-Agents ein.
    • Serverport: Geben Sie den Port des BindPlane-Agents ein (z. B. 514).
    • Transport: Wählen Sie UDP aus.
    • Ereignisformat: Wählen Sie Syslog aus.
    • Zeitzone in Ereignisse aufnehmen: Lassen Sie die Option deaktiviert.
    • Facility: Art des Prozesses, dem Ereignisse zugeordnet werden.
    • Agents sollen Logs weiterleiten: Wählen Sie Syslog-Server aus.
    • Klicken Sie auf Speichern.

Systemereignisse in Trend Micro Cloud One exportieren

  1. Gehen Sie zu Verwaltung > Systemeinstellungen > Ereignisweiterleitung.
  2. Wählen Sie unter Systemereignisse an einen Remote-Computer weiterleiten (über Syslog) die Konfiguration aus, die Sie im vorherigen Schritt erstellt haben.
  3. Klicken Sie auf Speichern.

Sicherheitsereignisse in Trend Micro Cloud One exportieren

  1. Gehen Sie zu Richtlinien.
  2. Klicken Sie auf die Richtlinie, die von den Computern verwendet wird.
  3. Gehen Sie zu Einstellungen > Ereignisweiterleitung.
  4. Häufigkeit der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Zeitraum zwischen dem Senden von Ereignissen aus und legen Sie fest, wie oft die Sicherheitsereignisse weitergeleitet werden sollen.
  5. Konfiguration der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Anti-Malware Syslog-Konfiguration und dann die im vorherigen Schritt erstellte Konfiguration aus.
  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
handeln security_result.action Wenn act „deny“ oder „block“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann BLOCK. Wenn act „pass“ oder „allow“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann ALLOW. Wenn act „update“ oder „rename“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann ALLOW_WITH_MODIFICATION. Wenn act „Quarantäne“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann QUARANTINE. Andernfalls UNKNOWN_ACTION.
handeln security_result.action_details Direkt zugeordnet.
Katze security_result.category_details Direkt zugeordnet.
cn1 target.asset_id Wenn cn1Label „Host-ID“ ist, wird „Host-ID:“ vorangestellt.
Ab metadata.description Direkt zugeordnet.
dvchost target.asset.hostname Direkt zugeordnet.
dvchost target.hostname Direkt zugeordnet.
log_type metadata.product_name Direkt zugeordnet.
msg security_result.description Direkt zugeordnet.
Name security_result.summary Direkt zugeordnet.
Organisation target.administrative_domain Direkt zugeordnet.
proto additional.fields.key Legen Sie „Protokoll“ fest, wenn das Feld „proto“ nicht in eine Ganzzahl umgewandelt werden kann.
proto additional.fields.value.string_value Direkt zugeordnet, wenn das Feld proto nicht in eine Ganzzahl umgewandelt werden kann.
proto network.ip_protocol Zuordnung mithilfe der parse_ip_protocol.include-Logik, die die Protokollnummer in den entsprechenden Namen umwandelt (z.B. „6“ wird zu „TCP“).
product_version metadata.product_version Direkt zugeordnet.
sev security_result.severity Wenn sev „0“, „1“, „2“, „3“ oder „niedrig“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann LOW. Wenn sev „4“, „5“, „6“ oder „mittel“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann MEDIUM. Wenn sev „7“, „8“ oder „high“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann HIGH. Wenn sev „9“, „10“ oder „sehr hoch“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann CRITICAL.
sev security_result.severity_details Direkt zugeordnet.
src principal.asset.hostname Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src principal.asset.ip Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
src principal.hostname Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src principal.ip Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
TrendMicroDsTenant security_result.detection_fields.key Legen Sie diesen Wert auf „TrendMicroDsTenant“ fest.
TrendMicroDsTenant security_result.detection_fields.value Direkt zugeordnet.
TrendMicroDsTenantId security_result.detection_fields.key Legen Sie diesen Wert auf „TrendMicroDsTenantId“ fest.
TrendMicroDsTenantId security_result.detection_fields.value Direkt zugeordnet.
usrName principal.user.userid Direkt zugeordnet. Wenn has_principal und has_target wahr sind, dann NETWORK_CONNECTION. Andernfalls, wenn has_principal wahr ist, STATUS_UPDATE. Andernfalls, wenn has_target wahr und has_principal falsch ist, dann USER_UNCATEGORIZED. Andernfalls GENERIC_EVENT. Wird auf AUTHTYPE_UNSPECIFIED gesetzt, wenn event_type gleich USER_UNCATEGORIZED ist. Legen Sie „true“ fest, wenn eine Haupt-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Legen Sie „true“ fest, wenn eine Ziel-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Entspricht dem Zeitstempel des Ereignisses auf oberster Ebene. Legen Sie diesen Wert auf „Trend Micro“ fest.

Änderungen

2024-04-29

  • Neu erstellter Parser.