Recopila registros de Trend Micro Cloud One

Compatible con:

Descripción general

Este analizador controla los registros con formato syslog y JSON de Trend Micro Cloud One. Extrae pares clave-valor de los mensajes con formato LEEF, normaliza los valores de gravedad, identifica las entidades principales y de destino (IP, nombre de host, usuario) y asigna los datos al esquema de la UDM. Si no se detecta el formato LEEF, el analizador intenta procesar la entrada como JSON y extraer los campos relevantes según corresponda.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Trend Micro Cloud One.
  • Asegúrate de tener un host de Windows 2012 SP2 o una versión posterior, o bien Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede a la máquina con BindPlane.
  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
      udplog:
        # Replace the below port <5514> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:514" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reinicia el agente de BindPlane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Configura Syslog desde Trend Micro Cloud One

  1. Ve a Políticas > Objetos comunes > Otros > Parámetros de configuración de Syslog.
  2. Haz clic en New > New Configuration > General.
  3. Especifica valores para los siguientes parámetros:
    • Nombre: Es un nombre único que identifica la configuración (por ejemplo, servidor BindPlance de Google SecOps).
    • Nombre del servidor: Ingresa la dirección IP del agente de BindPlane.
    • Puerto del servidor: Ingresa el puerto del agente de BindPlane (por ejemplo, 514).
    • Transporte: Selecciona UDP.
    • Formato del evento: Selecciona Syslog.
    • Incluir zona horaria en los eventos: Mantén la opción sin seleccionar.
    • Facility: Es el tipo de proceso con el que se asociarán los eventos.
    • Los agentes deben reenviar registros: Selecciona el servidor Syslog.
    • Haz clic en Guardar.

Exporta eventos del sistema en Trend Micro Cloud One

  1. Ve a Administración > Configuración del sistema > Redirección de eventos.
  2. Reenvía eventos del sistema a una computadora remota (a través de Syslog) con la configuración. Selecciona la configuración que creaste en el paso anterior.
  3. Haz clic en Guardar.

Exporta eventos de seguridad en Trend Micro Cloud One

  1. Ve a Políticas.
  2. Haz clic en la política que usan las computadoras.
  3. Ve a Configuración > Reenvío de eventos.
  4. Frecuencia de reenvío de eventos (desde el agente o el dispositivo): Elige Período entre el envío de eventos y selecciona la frecuencia con la que se reenviarán los eventos de seguridad.
  5. Configuración de reenvío de eventos (desde el agente o el dispositivo): Elige Configuración de Syslog de Anti-Malware y selecciona la configuración que creaste en el paso anterior.
  6. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
actuar security_result.action Si act es "deny" o "block" (sin distinción entre mayúsculas y minúsculas), entonces es BLOCK. Si act es "pass" o "allow" (no distingue mayúsculas de minúsculas), entonces es ALLOW. Si act es "update" o "rename" (no distingue mayúsculas de minúsculas), entonces ALLOW_WITH_MODIFICATION. Si act es "quarantine" (sin distinción entre mayúsculas y minúsculas), entonces QUARANTINE. De lo contrario, UNKNOWN_ACTION.
actuar security_result.action_details Se asignan directamente.
gato security_result.category_details Se asignan directamente.
cn1 target.asset_id Tiene el prefijo "Host Id:" si cn1Label es "Host ID".
desc metadata.description Se asignan directamente.
dvchost target.asset.hostname Se asignan directamente.
dvchost target.hostname Se asignan directamente.
log_type metadata.product_name Se asignan directamente.
msg security_result.description Se asignan directamente.
nombre security_result.summary Se asignan directamente.
organización target.administrative_domain Se asignan directamente.
proto additional.fields.key Establece el valor en "Protocol" si el campo proto no se puede convertir en un número entero.
proto additional.fields.value.string_value Se asigna directamente si el campo proto no se puede convertir en un número entero.
proto network.ip_protocol Se asignan con la lógica parse_ip_protocol.include, que convierte el número de protocolo en su nombre correspondiente (p.ej., “6” se convierte en “TCP”).
product_version metadata.product_version Se asignan directamente.
sev security_result.severity Si sev es “0”, “1”, “2”, “3” o “low” (no distingue mayúsculas de minúsculas), entonces LOW. Si sev es “4”, “5”, “6” o “mediano” (sin distinción entre mayúsculas y minúsculas), entonces MEDIUM. Si sev es “7”, “8” o “alto” (sin distinción entre mayúsculas y minúsculas), entonces HIGH. Si sev es “9”, “10” o “muy alto” (no distingue mayúsculas de minúsculas), entonces es CRITICAL.
sev security_result.severity_details Se asignan directamente.
src principal.asset.hostname Se asigna directamente si no es una dirección IP válida.
src principal.asset.ip Se asigna directamente si es una dirección IP válida.
src principal.hostname Se asigna directamente si no es una dirección IP válida.
src principal.ip Se asigna directamente si es una dirección IP válida.
TrendMicroDsTenant security_result.detection_fields.key Establece el valor en "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Se asignan directamente.
TrendMicroDsTenantId security_result.detection_fields.key Establece el valor en "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Se asignan directamente.
usrName principal.user.userid Se asignan directamente. Si has_principal es verdadero y has_target es verdadero, entonces NETWORK_CONNECTION. De lo contrario, si has_principal es verdadero, entonces STATUS_UPDATE. De lo contrario, si has_target es verdadero y has_principal es falso, entonces USER_UNCATEGORIZED. De lo contrario, GENERIC_EVENT. Se establece en AUTHTYPE_UNSPECIFIED, si event_type es USER_UNCATEGORIZED. Configúralo como "true" si se extrae una IP principal, un nombre de host o una dirección MAC. De lo contrario, se inicializa como “false”. Configúralo como "true" si se extrae una IP, un nombre de host o una dirección MAC de destino. De lo contrario, se inicializa como “false”. Es igual que la marca de tiempo del evento de nivel superior. Establece la opción en “Trend Micro”.

Cambios

2024-04-29

  • Sin embargo, el analizador se creó recientemente.