Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Trend Micro Cloud One

Compatible avec:

Google SecOps SIEM

Présentation

Cet analyseur gère les journaux au format syslog et JSON de Trend Micro Cloud One. Il extrait des paires clé-valeur à partir de messages au format LEEF, normalise les valeurs de gravité, identifie les entités principales et cibles (adresse IP, nom d'hôte, utilisateur) et met en correspondance les données avec le schéma UDM. Si le format LEEF n'est pas détecté, l'analyseur tente de traiter l'entrée au format JSON et d'extraire les champs pertinents en conséquence.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous de disposer d'un accès privilégié à Trend Micro Cloud One.
Assurez-vous de disposer d'un hôte Windows 2012 SP2 ou version ultérieure ou Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

Pour l'installation sous Windows, exécutez le script suivant: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Pour l'installation sous Linux, exécutez le script suivant: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez à la machine avec BindPlane.

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Redémarrez l'agent BindPlane pour appliquer les modifications à l'aide de la commande suivante : sudo systemctl bindplane restart

Configurer Syslog à partir de Trend Micro Cloud One

Accédez à Policies (Stratégies) > Common Objects (Objets communs) > Other (Autre) > Syslog Configurations (Configurations Syslog).
Cliquez sur Nouveau > Nouvelle configuration > Général.
Spécifiez les valeurs des paramètres suivants :
- Nom: nom unique qui identifie la configuration (par exemple, Serveur Google SecOps BindPlance).
- Nom du serveur: saisissez l'adresse IP de l'agent BindPlane.
- Port du serveur: saisissez le port de l'agent BindPlane (par exemple, 514).
- Transport: sélectionnez UDP.
- Format d'événement: sélectionnez Syslog.
- Inclure le fuseau horaire dans les événements: laissez cette option désélectionnée.
- Installation: type de processus auquel les événements seront associés.
- Les agents doivent transférer les journaux: sélectionnez le serveur Syslog.
- Cliquez sur Enregistrer.

Exporter des événements système dans Trend Micro Cloud One

Accédez à Administration > Paramètres système > Transfert d'événements.
Transférer les événements système vers un ordinateur distant (via Syslog) à l'aide de la configuration, sélectionnez la configuration créée à l'étape précédente.
Cliquez sur Enregistrer.

Exporter des événements de sécurité dans Trend Micro Cloud One

Accédez à Règles.
Cliquez sur la stratégie utilisée par les ordinateurs.
Accédez à Paramètres > Transfert d'événements.
Fréquence de transfert des événements (de l'agent/de l'appliance): sélectionnez Période entre l'envoi des événements, puis indiquez la fréquence à laquelle les événements de sécurité seront transférés.
Configuration du transfert d'événements (à partir de l'agent/de l'appliance): sélectionnez Configuration Syslog anti-logiciels malveillants, puis la configuration créée à l'étape précédente.
Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
agir	`security_result.action`	Si `act` est "deny" ou "block" (sans distinction entre majuscules et minuscules), `BLOCK`. Si `act` est "pass" ou "allow" (sans distinction entre majuscules et minuscules), `ALLOW`. Si `act` est "update" ou "rename" (sans distinction entre majuscules et minuscules), `ALLOW_WITH_MODIFICATION`. Si `act` est "quarantine" (sans distinction entre majuscules et minuscules), alors `QUARANTINE`. Dans le cas contraire, `UNKNOWN_ACTION`.
agir	`security_result.action_details`	Mappage direct.
cat	`security_result.category_details`	Mappage direct.
cn1	`target.asset_id`	Préfixé par "ID de l'hôte:" si `cn1Label` est "ID de l'hôte".
décroiss.	`metadata.description`	Mappage direct.
dvchost	`target.asset.hostname`	Mappage direct.
dvchost	`target.hostname`	Mappage direct.
log_type	`metadata.product_name`	Mappage direct.
Message	`security_result.description`	Mappage direct.
nom	`security_result.summary`	Mappage direct.
organisation	`target.administrative_domain`	Mappage direct.
proto	`additional.fields.key`	Définissez-le sur "Protocole" si le champ `proto` ne peut pas être converti en entier.
proto	`additional.fields.value.string_value`	Mappage direct si le champ `proto` ne peut pas être converti en entier.
proto	`network.ip_protocol`	Mappé à l'aide de la logique `parse_ip_protocol.include`, qui convertit le numéro de protocole en son nom correspondant (par exemple, "6" devient "TCP").
product_version	`metadata.product_version`	Mappage direct.
sev	`security_result.severity`	Si `sev` est "0", "1", "2", "3" ou "low" (sans distinction entre majuscules et minuscules), `LOW`. Si `sev` est "4", "5", "6" ou "medium" (sans distinction entre majuscules et minuscules), `MEDIUM`. Si `sev` est "7", "8" ou "high" (sans distinction entre majuscules et minuscules), `HIGH`. Si `sev` est "9", "10" ou "très élevé" (insensible à la casse), `CRITICAL`.
sev	`security_result.severity_details`	Mappage direct.
src	`principal.asset.hostname`	Mappée directement s'il ne s'agit pas d'une adresse IP valide.
src	`principal.asset.ip`	Mappée directement s'il s'agit d'une adresse IP valide.
src	`principal.hostname`	Mappée directement s'il ne s'agit pas d'une adresse IP valide.
src	`principal.ip`	Mappée directement s'il s'agit d'une adresse IP valide.
TrendMicroDsTenant	`security_result.detection_fields.key`	Définissez-le sur "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mappage direct.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Définissez-le sur "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mappage direct.
usrName	`principal.user.userid`	Mappage direct. Si `has_principal` est vrai et `has_target` est vrai, alors `NETWORK_CONNECTION`. Sinon, si `has_principal` est "true", `STATUS_UPDATE`. Sinon, si `has_target` est vrai et que `has_principal` est faux, alors `USER_UNCATEGORIZED`. Dans le cas contraire, `GENERIC_EVENT`. Définissez cette valeur sur `AUTHTYPE_UNSPECIFIED` si `event_type` est `USER_UNCATEGORIZED`. Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC principale est extraite. Sinon, elle est initialisée sur "false". Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC cible est extraite. Sinon, elle est initialisée sur "false". Correspond à l'horodatage de l'événement de niveau supérieur. Définissez-le sur "Trend Micro".

Modifications

2024-04-29

Analyseur nouvellement créé.