Collecter les journaux Trend Micro Cloud One
Présentation
Cet analyseur gère les journaux au format syslog et JSON de Trend Micro Cloud One. Il extrait des paires clé-valeur à partir de messages au format LEEF, normalise les valeurs de gravité, identifie les entités principales et cibles (adresse IP, nom d'hôte, utilisateur) et met en correspondance les données avec le schéma UDM. Si le format LEEF n'est pas détecté, l'analyseur tente de traiter l'entrée au format JSON et d'extraire les champs pertinents en conséquence.
Avant de commencer
- Assurez-vous de disposer d'une instance Google SecOps.
- Assurez-vous de disposer d'un accès privilégié à Trend Micro Cloud One.
- Assurez-vous de disposer d'un hôte Windows 2012 SP2 ou version ultérieure ou Linux avec systemd.
- Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.
Installer l'agent BindPlane
- Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Pour l'installation sous Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.
Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez à la machine avec BindPlane.
Modifiez le fichier
config.yaml
comme suit :receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Redémarrez l'agent BindPlane pour appliquer les modifications à l'aide de la commande suivante :
sudo systemctl bindplane restart
Configurer Syslog à partir de Trend Micro Cloud One
- Accédez à Policies (Stratégies) > Common Objects (Objets communs) > Other (Autre) > Syslog Configurations (Configurations Syslog).
- Cliquez sur Nouveau > Nouvelle configuration > Général.
- Spécifiez les valeurs des paramètres suivants :
- Nom: nom unique qui identifie la configuration (par exemple, Serveur Google SecOps BindPlance).
- Nom du serveur: saisissez l'adresse IP de l'agent BindPlane.
- Port du serveur: saisissez le port de l'agent BindPlane (par exemple, 514).
- Transport: sélectionnez UDP.
- Format d'événement: sélectionnez Syslog.
- Inclure le fuseau horaire dans les événements: laissez cette option désélectionnée.
- Installation: type de processus auquel les événements seront associés.
- Les agents doivent transférer les journaux: sélectionnez le serveur Syslog.
- Cliquez sur Enregistrer.
Exporter des événements système dans Trend Micro Cloud One
- Accédez à Administration > Paramètres système > Transfert d'événements.
- Transférer les événements système vers un ordinateur distant (via Syslog) à l'aide de la configuration, sélectionnez la configuration créée à l'étape précédente.
- Cliquez sur Enregistrer.
Exporter des événements de sécurité dans Trend Micro Cloud One
- Accédez à Règles.
- Cliquez sur la stratégie utilisée par les ordinateurs.
- Accédez à Paramètres > Transfert d'événements.
- Fréquence de transfert des événements (de l'agent/de l'appliance): sélectionnez Période entre l'envoi des événements, puis indiquez la fréquence à laquelle les événements de sécurité seront transférés.
- Configuration du transfert d'événements (à partir de l'agent/de l'appliance): sélectionnez Configuration Syslog anti-logiciels malveillants, puis la configuration créée à l'étape précédente.
- Cliquez sur Enregistrer.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
agir | security_result.action |
Si act est "deny" ou "block" (sans distinction entre majuscules et minuscules), BLOCK . Si act est "pass" ou "allow" (sans distinction entre majuscules et minuscules), ALLOW . Si act est "update" ou "rename" (sans distinction entre majuscules et minuscules), ALLOW_WITH_MODIFICATION . Si act est "quarantine" (sans distinction entre majuscules et minuscules), alors QUARANTINE . Dans le cas contraire, UNKNOWN_ACTION . |
agir | security_result.action_details |
Mappage direct. |
cat | security_result.category_details |
Mappage direct. |
cn1 | target.asset_id |
Préfixé par "ID de l'hôte:" si cn1Label est "ID de l'hôte". |
décroiss. | metadata.description |
Mappage direct. |
dvchost | target.asset.hostname |
Mappage direct. |
dvchost | target.hostname |
Mappage direct. |
log_type | metadata.product_name |
Mappage direct. |
Message | security_result.description |
Mappage direct. |
nom | security_result.summary |
Mappage direct. |
organisation | target.administrative_domain |
Mappage direct. |
proto | additional.fields.key |
Définissez-le sur "Protocole" si le champ proto ne peut pas être converti en entier. |
proto | additional.fields.value.string_value |
Mappage direct si le champ proto ne peut pas être converti en entier. |
proto | network.ip_protocol |
Mappé à l'aide de la logique parse_ip_protocol.include , qui convertit le numéro de protocole en son nom correspondant (par exemple, "6" devient "TCP"). |
product_version | metadata.product_version |
Mappage direct. |
sev | security_result.severity |
Si sev est "0", "1", "2", "3" ou "low" (sans distinction entre majuscules et minuscules), LOW . Si sev est "4", "5", "6" ou "medium" (sans distinction entre majuscules et minuscules), MEDIUM . Si sev est "7", "8" ou "high" (sans distinction entre majuscules et minuscules), HIGH . Si sev est "9", "10" ou "très élevé" (insensible à la casse), CRITICAL . |
sev | security_result.severity_details |
Mappage direct. |
src | principal.asset.hostname |
Mappée directement s'il ne s'agit pas d'une adresse IP valide. |
src | principal.asset.ip |
Mappée directement s'il s'agit d'une adresse IP valide. |
src | principal.hostname |
Mappée directement s'il ne s'agit pas d'une adresse IP valide. |
src | principal.ip |
Mappée directement s'il s'agit d'une adresse IP valide. |
TrendMicroDsTenant | security_result.detection_fields.key |
Définissez-le sur "TrendMicroDsTenant". |
TrendMicroDsTenant | security_result.detection_fields.value |
Mappage direct. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Définissez-le sur "TrendMicroDsTenantId". |
TrendMicroDsTenantId | security_result.detection_fields.value |
Mappage direct. |
usrName | principal.user.userid |
Mappage direct. Si has_principal est vrai et has_target est vrai, alors NETWORK_CONNECTION . Sinon, si has_principal est "true", STATUS_UPDATE . Sinon, si has_target est vrai et que has_principal est faux, alors USER_UNCATEGORIZED . Dans le cas contraire, GENERIC_EVENT . Définissez cette valeur sur AUTHTYPE_UNSPECIFIED si event_type est USER_UNCATEGORIZED . Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC principale est extraite. Sinon, elle est initialisée sur "false". Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC cible est extraite. Sinon, elle est initialisée sur "false". Correspond à l'horodatage de l'événement de niveau supérieur. Définissez-le sur "Trend Micro". |
Modifications
2024-04-29
- Analyseur nouvellement créé.