Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Trend Micro Cloud One

Compatible con:

Google SecOps SIEM

Descripción general

Este analizador controla los registros con formato syslog y JSON de Trend Micro Cloud One. Extrae pares clave-valor de los mensajes con formato LEEF, normaliza los valores de gravedad, identifica las entidades principales y de destino (IP, nombre de host, usuario) y asigna los datos al esquema de la UDM. Si no se detecta el formato LEEF, el analizador intenta procesar la entrada como JSON y extraer los campos relevantes según corresponda.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de tener acceso con privilegios a Trend Micro Cloud One.
Asegúrate de tener un host de Windows 2012 SP2 o una versión posterior, o bien Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Para la instalación de Windows, ejecuta la siguiente secuencia de comandos: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para la instalación de Linux, ejecuta la siguiente secuencia de comandos: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede a la máquina con BindPlane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de BindPlane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Configura Syslog desde Trend Micro Cloud One

Ve a Políticas > Objetos comunes > Otros > Parámetros de configuración de Syslog.
Haz clic en New > New Configuration > General.
Especifica valores para los siguientes parámetros:
- Nombre: Es un nombre único que identifica la configuración (por ejemplo, servidor BindPlance de Google SecOps).
- Nombre del servidor: Ingresa la dirección IP del agente de BindPlane.
- Puerto del servidor: Ingresa el puerto del agente de BindPlane (por ejemplo, 514).
- Transporte: Selecciona UDP.
- Formato del evento: Selecciona Syslog.
- Incluir zona horaria en los eventos: Mantén la opción sin seleccionar.
- Facility: Es el tipo de proceso con el que se asociarán los eventos.
- Los agentes deben reenviar registros: Selecciona el servidor Syslog.
- Haz clic en Guardar.

Exporta eventos del sistema en Trend Micro Cloud One

Ve a Administración > Configuración del sistema > Redirección de eventos.
Reenvía eventos del sistema a una computadora remota (a través de Syslog) con la configuración. Selecciona la configuración que creaste en el paso anterior.
Haz clic en Guardar.

Exporta eventos de seguridad en Trend Micro Cloud One

Ve a Políticas.
Haz clic en la política que usan las computadoras.
Ve a Configuración > Reenvío de eventos.
Frecuencia de reenvío de eventos (desde el agente o el dispositivo): Elige Período entre el envío de eventos y selecciona la frecuencia con la que se reenviarán los eventos de seguridad.
Configuración de reenvío de eventos (desde el agente o el dispositivo): Elige Configuración de Syslog de Anti-Malware y selecciona la configuración que creaste en el paso anterior.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
actuar	`security_result.action`	Si `act` es "deny" o "block" (sin distinción entre mayúsculas y minúsculas), entonces es `BLOCK`. Si `act` es "pass" o "allow" (no distingue mayúsculas de minúsculas), entonces es `ALLOW`. Si `act` es "update" o "rename" (no distingue mayúsculas de minúsculas), entonces `ALLOW_WITH_MODIFICATION`. Si `act` es "quarantine" (sin distinción entre mayúsculas y minúsculas), entonces `QUARANTINE`. De lo contrario, `UNKNOWN_ACTION`.
actuar	`security_result.action_details`	Se asignan directamente.
gato	`security_result.category_details`	Se asignan directamente.
cn1	`target.asset_id`	Tiene el prefijo "Host Id:" si `cn1Label` es "Host ID".
desc	`metadata.description`	Se asignan directamente.
dvchost	`target.asset.hostname`	Se asignan directamente.
dvchost	`target.hostname`	Se asignan directamente.
log_type	`metadata.product_name`	Se asignan directamente.
msg	`security_result.description`	Se asignan directamente.
nombre	`security_result.summary`	Se asignan directamente.
organización	`target.administrative_domain`	Se asignan directamente.
proto	`additional.fields.key`	Establece el valor en "Protocol" si el campo `proto` no se puede convertir en un número entero.
proto	`additional.fields.value.string_value`	Se asigna directamente si el campo `proto` no se puede convertir en un número entero.
proto	`network.ip_protocol`	Se asignan con la lógica `parse_ip_protocol.include`, que convierte el número de protocolo en su nombre correspondiente (p.ej., “6” se convierte en “TCP”).
product_version	`metadata.product_version`	Se asignan directamente.
sev	`security_result.severity`	Si `sev` es “0”, “1”, “2”, “3” o “low” (no distingue mayúsculas de minúsculas), entonces `LOW`. Si `sev` es “4”, “5”, “6” o “mediano” (sin distinción entre mayúsculas y minúsculas), entonces `MEDIUM`. Si `sev` es “7”, “8” o “alto” (sin distinción entre mayúsculas y minúsculas), entonces `HIGH`. Si `sev` es “9”, “10” o “muy alto” (no distingue mayúsculas de minúsculas), entonces es `CRITICAL`.
sev	`security_result.severity_details`	Se asignan directamente.
src	`principal.asset.hostname`	Se asigna directamente si no es una dirección IP válida.
src	`principal.asset.ip`	Se asigna directamente si es una dirección IP válida.
src	`principal.hostname`	Se asigna directamente si no es una dirección IP válida.
src	`principal.ip`	Se asigna directamente si es una dirección IP válida.
TrendMicroDsTenant	`security_result.detection_fields.key`	Establece el valor en "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Se asignan directamente.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Establece el valor en "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Se asignan directamente.
usrName	`principal.user.userid`	Se asignan directamente. Si `has_principal` es verdadero y `has_target` es verdadero, entonces `NETWORK_CONNECTION`. De lo contrario, si `has_principal` es verdadero, entonces `STATUS_UPDATE`. De lo contrario, si `has_target` es verdadero y `has_principal` es falso, entonces `USER_UNCATEGORIZED`. De lo contrario, `GENERIC_EVENT`. Se establece en `AUTHTYPE_UNSPECIFIED`, si `event_type` es `USER_UNCATEGORIZED`. Configúralo como "true" si se extrae una IP principal, un nombre de host o una dirección MAC. De lo contrario, se inicializa como “false”. Configúralo como "true" si se extrae una IP, un nombre de host o una dirección MAC de destino. De lo contrario, se inicializa como “false”. Es igual que la marca de tiempo del evento de nivel superior. Establece la opción en “Trend Micro”.

Cambios

2024-04-29

Sin embargo, el analizador se creó recientemente.