Recopila registros de Trend Micro Cloud One
Descripción general
Este analizador controla los registros con formato syslog y JSON de Trend Micro Cloud One. Extrae pares clave-valor de los mensajes con formato LEEF, normaliza los valores de gravedad, identifica las entidades principales y de destino (IP, nombre de host, usuario) y asigna los datos al esquema de la UDM. Si no se detecta el formato LEEF, el analizador intenta procesar la entrada como JSON y extraer los campos relevantes según corresponda.
Antes de comenzar
- Asegúrate de tener una instancia de Google SecOps.
- Asegúrate de tener acceso con privilegios a Trend Micro Cloud One.
- Asegúrate de tener un host de Windows 2012 SP2 o una versión posterior, o bien Linux con systemd.
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
- Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Puedes encontrar opciones de instalación adicionales en esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede a la máquina con BindPlane.
Edita el archivo
config.yaml
de la siguiente manera:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Reinicia el agente de BindPlane para aplicar los cambios con el siguiente comando:
sudo systemctl bindplane restart
Configura Syslog desde Trend Micro Cloud One
- Ve a Políticas > Objetos comunes > Otros > Parámetros de configuración de Syslog.
- Haz clic en New > New Configuration > General.
- Especifica valores para los siguientes parámetros:
- Nombre: Es un nombre único que identifica la configuración (por ejemplo, servidor BindPlance de Google SecOps).
- Nombre del servidor: Ingresa la dirección IP del agente de BindPlane.
- Puerto del servidor: Ingresa el puerto del agente de BindPlane (por ejemplo, 514).
- Transporte: Selecciona UDP.
- Formato del evento: Selecciona Syslog.
- Incluir zona horaria en los eventos: Mantén la opción sin seleccionar.
- Facility: Es el tipo de proceso con el que se asociarán los eventos.
- Los agentes deben reenviar registros: Selecciona el servidor Syslog.
- Haz clic en Guardar.
Exporta eventos del sistema en Trend Micro Cloud One
- Ve a Administración > Configuración del sistema > Redirección de eventos.
- Reenvía eventos del sistema a una computadora remota (a través de Syslog) con la configuración. Selecciona la configuración que creaste en el paso anterior.
- Haz clic en Guardar.
Exporta eventos de seguridad en Trend Micro Cloud One
- Ve a Políticas.
- Haz clic en la política que usan las computadoras.
- Ve a Configuración > Reenvío de eventos.
- Frecuencia de reenvío de eventos (desde el agente o el dispositivo): Elige Período entre el envío de eventos y selecciona la frecuencia con la que se reenviarán los eventos de seguridad.
- Configuración de reenvío de eventos (desde el agente o el dispositivo): Elige Configuración de Syslog de Anti-Malware y selecciona la configuración que creaste en el paso anterior.
- Haz clic en Guardar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
actuar | security_result.action |
Si act es "deny" o "block" (sin distinción entre mayúsculas y minúsculas), entonces es BLOCK . Si act es "pass" o "allow" (no distingue mayúsculas de minúsculas), entonces es ALLOW . Si act es "update" o "rename" (no distingue mayúsculas de minúsculas), entonces ALLOW_WITH_MODIFICATION . Si act es "quarantine" (sin distinción entre mayúsculas y minúsculas), entonces QUARANTINE . De lo contrario, UNKNOWN_ACTION . |
actuar | security_result.action_details |
Se asignan directamente. |
gato | security_result.category_details |
Se asignan directamente. |
cn1 | target.asset_id |
Tiene el prefijo "Host Id:" si cn1Label es "Host ID". |
desc | metadata.description |
Se asignan directamente. |
dvchost | target.asset.hostname |
Se asignan directamente. |
dvchost | target.hostname |
Se asignan directamente. |
log_type | metadata.product_name |
Se asignan directamente. |
msg | security_result.description |
Se asignan directamente. |
nombre | security_result.summary |
Se asignan directamente. |
organización | target.administrative_domain |
Se asignan directamente. |
proto | additional.fields.key |
Establece el valor en "Protocol" si el campo proto no se puede convertir en un número entero. |
proto | additional.fields.value.string_value |
Se asigna directamente si el campo proto no se puede convertir en un número entero. |
proto | network.ip_protocol |
Se asignan con la lógica parse_ip_protocol.include , que convierte el número de protocolo en su nombre correspondiente (p.ej., “6” se convierte en “TCP”). |
product_version | metadata.product_version |
Se asignan directamente. |
sev | security_result.severity |
Si sev es “0”, “1”, “2”, “3” o “low” (no distingue mayúsculas de minúsculas), entonces LOW . Si sev es “4”, “5”, “6” o “mediano” (sin distinción entre mayúsculas y minúsculas), entonces MEDIUM . Si sev es “7”, “8” o “alto” (sin distinción entre mayúsculas y minúsculas), entonces HIGH . Si sev es “9”, “10” o “muy alto” (no distingue mayúsculas de minúsculas), entonces es CRITICAL . |
sev | security_result.severity_details |
Se asignan directamente. |
src | principal.asset.hostname |
Se asigna directamente si no es una dirección IP válida. |
src | principal.asset.ip |
Se asigna directamente si es una dirección IP válida. |
src | principal.hostname |
Se asigna directamente si no es una dirección IP válida. |
src | principal.ip |
Se asigna directamente si es una dirección IP válida. |
TrendMicroDsTenant | security_result.detection_fields.key |
Establece el valor en "TrendMicroDsTenant". |
TrendMicroDsTenant | security_result.detection_fields.value |
Se asignan directamente. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Establece el valor en "TrendMicroDsTenantId". |
TrendMicroDsTenantId | security_result.detection_fields.value |
Se asignan directamente. |
usrName | principal.user.userid |
Se asignan directamente. Si has_principal es verdadero y has_target es verdadero, entonces NETWORK_CONNECTION . De lo contrario, si has_principal es verdadero, entonces STATUS_UPDATE . De lo contrario, si has_target es verdadero y has_principal es falso, entonces USER_UNCATEGORIZED . De lo contrario, GENERIC_EVENT . Se establece en AUTHTYPE_UNSPECIFIED , si event_type es USER_UNCATEGORIZED . Configúralo como "true" si se extrae una IP principal, un nombre de host o una dirección MAC. De lo contrario, se inicializa como “false”. Configúralo como "true" si se extrae una IP, un nombre de host o una dirección MAC de destino. De lo contrario, se inicializa como “false”. Es igual que la marca de tiempo del evento de nivel superior. Establece la opción en “Trend Micro”. |
Cambios
2024-04-29
- Sin embargo, el analizador se creó recientemente.