Diese Seite wurde von der Cloud Translation API übersetzt.

Trend Micro Cloud One-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser verarbeitet syslog- und JSON-formatierte Protokolle von Trend Micro Cloud One. Es extrahiert Schlüssel/Wert-Paare aus LEEF-formatierten Nachrichten, normalisiert Schweregradwerte, identifiziert Haupt- und Zielentitäten (IP, Hostname, Nutzer) und ordnet die Daten dem UDM-Schema zu. Wenn das LEEF-Format nicht erkannt wird, versucht der Parser, die Eingabe als JSON zu verarbeiten und die relevanten Felder entsprechend zu extrahieren.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen Berechtigungen für Trend Micro Cloud One.
Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profile.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Führen Sie für die Linux-Installation das folgende Script aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

Rufen Sie den Computer mit dem Bindplane-Agenten auf.

Bearbeiten Sie die Datei config.yamlso:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden. Verwenden Sie dazu den folgenden Befehl: sudo systemctl bindplane restart

Syslog über Trend Micro Cloud One konfigurieren

Gehen Sie zu Richtlinien > Gängige Objekte > Sonstiges > Syslog-Konfigurationen.
Klicken Sie auf Neu > Neue Konfiguration > Allgemein.
Geben Sie Werte für die folgenden Parameter an:
- Name: Eindeutiger Name, der die Konfiguration identifiziert (z. B. Google SecOps BindPlance-Server).
- Servername: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Server Port: Geben Sie den Port des Bindplane-Agents ein (z. B. 514).
- Transport: Wählen Sie UDP aus.
- Ereignisformat: Wählen Sie Syslog aus.
- Zeitzone in Ereignisse einbeziehen: Lassen Sie die Option deaktiviert.
- Facility: Art des Prozesses, dem Ereignisse zugeordnet werden.
- Agents sollen Logs weiterleiten: Wählen Sie Syslog-Server aus.
- Klicken Sie auf Speichern.

Systemereignisse in Trend Micro Cloud One exportieren

Gehen Sie zu Verwaltung > Systemeinstellungen > Ereignisweiterleitung.
Wählen Sie unter Systemereignisse an einen Remote-Computer weiterleiten (über Syslog) die Konfiguration aus, die Sie im vorherigen Schritt erstellt haben.
Klicken Sie auf Speichern.

Sicherheitsereignisse in Trend Micro Cloud One exportieren

Gehen Sie zu Richtlinien.
Klicken Sie auf die Richtlinie, die von den Computern verwendet wird.
Gehen Sie zu Einstellungen > Ereignisweiterleitung.
Häufigkeit der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Zeitraum zwischen dem Senden von Ereignissen aus und legen Sie fest, wie oft die Sicherheitsereignisse weitergeleitet werden sollen.
Konfiguration der Ereignisweiterleitung (vom Agenten/Gerät): Wählen Sie Anti-Malware Syslog-Konfiguration und dann die im vorherigen Schritt erstellte Konfiguration aus.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
handeln	`security_result.action`	Wenn `act` „deny“ oder „block“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `BLOCK`. Wenn `act` „pass“ oder „allow“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `ALLOW`. Wenn `act` „update“ oder „rename“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `ALLOW_WITH_MODIFICATION`. Wenn `act` „Quarantäne“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `QUARANTINE`. Andernfalls `UNKNOWN_ACTION`.
handeln	`security_result.action_details`	Direkt zugeordnet.
Katze	`security_result.category_details`	Direkt zugeordnet.
cn1	`target.asset_id`	Wenn `cn1Label` „Host-ID“ ist, wird „Host-ID:“ vorangestellt.
Ab	`metadata.description`	Direkt zugeordnet.
dvchost	`target.asset.hostname`	Direkt zugeordnet.
dvchost	`target.hostname`	Direkt zugeordnet.
log_type	`metadata.product_name`	Direkt zugeordnet.
msg	`security_result.description`	Direkt zugeordnet.
Name	`security_result.summary`	Direkt zugeordnet.
Organisation	`target.administrative_domain`	Direkt zugeordnet.
Proto	`additional.fields.key`	Legen Sie „Protokoll“ fest, wenn das Feld „`proto`“ nicht in eine Ganzzahl umgewandelt werden kann.
Proto	`additional.fields.value.string_value`	Direkt zugeordnet, wenn das Feld `proto` nicht in eine Ganzzahl umgewandelt werden kann.
Proto	`network.ip_protocol`	Zuordnung mithilfe der `parse_ip_protocol.include`-Logik, die die Protokollnummer in den entsprechenden Namen umwandelt (z.B. „6“ wird zu „TCP“).
product_version	`metadata.product_version`	Direkt zugeordnet.
sev	`security_result.severity`	Wenn `sev` „0“, „1“, „2“, „3“ oder „niedrig“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `LOW`. Wenn `sev` „4“, „5“, „6“ oder „mittel“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `MEDIUM`. Wenn `sev` „7“, „8“ oder „high“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `HIGH`. Wenn `sev` „9“, „10“ oder „sehr hoch“ (ohne Berücksichtigung der Groß- und Kleinschreibung) ist, dann `CRITICAL`.
sev	`security_result.severity_details`	Direkt zugeordnet.
src	`principal.asset.hostname`	Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src	`principal.asset.ip`	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
src	`principal.hostname`	Wird direkt zugeordnet, wenn es sich nicht um eine gültige IP-Adresse handelt.
src	`principal.ip`	Direkt zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
TrendMicroDsTenant	`security_result.detection_fields.key`	Legen Sie diesen Wert auf „TrendMicroDsTenant“ fest.
TrendMicroDsTenant	`security_result.detection_fields.value`	Direkt zugeordnet.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Legen Sie diesen Wert auf „TrendMicroDsTenantId“ fest.
TrendMicroDsTenantId	`security_result.detection_fields.value`	Direkt zugeordnet.
usrName	`principal.user.userid`	Direkt zugeordnet. Wenn `has_principal` und `has_target` wahr sind, dann `NETWORK_CONNECTION`. Andernfalls, wenn `has_principal` wahr ist, `STATUS_UPDATE`. Andernfalls, wenn `has_target` wahr und `has_principal` falsch ist, dann `USER_UNCATEGORIZED`. Andernfalls `GENERIC_EVENT`. Wird auf `AUTHTYPE_UNSPECIFIED` gesetzt, wenn `event_type` gleich `USER_UNCATEGORIZED` ist. Legen Sie „true“ fest, wenn eine Haupt-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Legen Sie „true“ fest, wenn eine Ziel-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls wird „false“ initialisiert. Entspricht dem Zeitstempel des Ereignisses auf oberster Ebene. Legen Sie diesen Wert auf „Trend Micro“ fest.

Änderungen

2024-04-29

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten