Collecter les journaux Trend Micro Cloud One

Compatible avec:

Présentation

Cet analyseur gère les journaux au format syslog et JSON de Trend Micro Cloud One. Il extrait des paires clé-valeur à partir de messages au format LEEF, normalise les valeurs de gravité, identifie les entités principales et cibles (adresse IP, nom d'hôte, utilisateur) et met en correspondance les données avec le schéma UDM. Si le format LEEF n'est pas détecté, l'analyseur tente de traiter l'entrée au format JSON et d'extraire les champs pertinents en conséquence.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Trend Micro Cloud One.
  • Assurez-vous de disposer d'un hôte Windows 2012 SP2 ou version ultérieure ou Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Pour l'installation sous Linux, exécutez le script suivant: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez à la machine avec BindPlane.
  2. Modifiez le fichier config.yaml comme suit :

    receivers:
      udplog:
        # Replace the below port <5514> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:514" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Redémarrez l'agent BindPlane pour appliquer les modifications à l'aide de la commande suivante : sudo systemctl bindplane restart

Configurer Syslog à partir de Trend Micro Cloud One

  1. Accédez à Policies (Stratégies) > Common Objects (Objets communs) > Other (Autre) > Syslog Configurations (Configurations Syslog).
  2. Cliquez sur Nouveau > Nouvelle configuration > Général.
  3. Spécifiez les valeurs des paramètres suivants :
    • Nom: nom unique qui identifie la configuration (par exemple, Serveur Google SecOps BindPlance).
    • Nom du serveur: saisissez l'adresse IP de l'agent BindPlane.
    • Port du serveur: saisissez le port de l'agent BindPlane (par exemple, 514).
    • Transport: sélectionnez UDP.
    • Format d'événement: sélectionnez Syslog.
    • Inclure le fuseau horaire dans les événements: laissez cette option désélectionnée.
    • Installation: type de processus auquel les événements seront associés.
    • Les agents doivent transférer les journaux: sélectionnez le serveur Syslog.
    • Cliquez sur Enregistrer.

Exporter des événements système dans Trend Micro Cloud One

  1. Accédez à Administration > Paramètres système > Transfert d'événements.
  2. Transférer les événements système vers un ordinateur distant (via Syslog) à l'aide de la configuration, sélectionnez la configuration créée à l'étape précédente.
  3. Cliquez sur Enregistrer.

Exporter des événements de sécurité dans Trend Micro Cloud One

  1. Accédez à Règles.
  2. Cliquez sur la stratégie utilisée par les ordinateurs.
  3. Accédez à Paramètres > Transfert d'événements.
  4. Fréquence de transfert des événements (de l'agent/de l'appliance): sélectionnez Période entre l'envoi des événements, puis indiquez la fréquence à laquelle les événements de sécurité seront transférés.
  5. Configuration du transfert d'événements (à partir de l'agent/de l'appliance): sélectionnez Configuration Syslog anti-logiciels malveillants, puis la configuration créée à l'étape précédente.
  6. Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
agir security_result.action Si act est "deny" ou "block" (sans distinction entre majuscules et minuscules), BLOCK. Si act est "pass" ou "allow" (sans distinction entre majuscules et minuscules), ALLOW. Si act est "update" ou "rename" (sans distinction entre majuscules et minuscules), ALLOW_WITH_MODIFICATION. Si act est "quarantine" (sans distinction entre majuscules et minuscules), alors QUARANTINE. Dans le cas contraire, UNKNOWN_ACTION.
agir security_result.action_details Mappage direct.
cat security_result.category_details Mappage direct.
cn1 target.asset_id Préfixé par "ID de l'hôte:" si cn1Label est "ID de l'hôte".
décroiss. metadata.description Mappage direct.
dvchost target.asset.hostname Mappage direct.
dvchost target.hostname Mappage direct.
log_type metadata.product_name Mappage direct.
Message security_result.description Mappage direct.
nom security_result.summary Mappage direct.
organisation target.administrative_domain Mappage direct.
proto additional.fields.key Définissez-le sur "Protocole" si le champ proto ne peut pas être converti en entier.
proto additional.fields.value.string_value Mappage direct si le champ proto ne peut pas être converti en entier.
proto network.ip_protocol Mappé à l'aide de la logique parse_ip_protocol.include, qui convertit le numéro de protocole en son nom correspondant (par exemple, "6" devient "TCP").
product_version metadata.product_version Mappage direct.
sev security_result.severity Si sev est "0", "1", "2", "3" ou "low" (sans distinction entre majuscules et minuscules), LOW. Si sev est "4", "5", "6" ou "medium" (sans distinction entre majuscules et minuscules), MEDIUM. Si sev est "7", "8" ou "high" (sans distinction entre majuscules et minuscules), HIGH. Si sev est "9", "10" ou "très élevé" (insensible à la casse), CRITICAL.
sev security_result.severity_details Mappage direct.
src principal.asset.hostname Mappée directement s'il ne s'agit pas d'une adresse IP valide.
src principal.asset.ip Mappée directement s'il s'agit d'une adresse IP valide.
src principal.hostname Mappée directement s'il ne s'agit pas d'une adresse IP valide.
src principal.ip Mappée directement s'il s'agit d'une adresse IP valide.
TrendMicroDsTenant security_result.detection_fields.key Définissez-le sur "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Mappage direct.
TrendMicroDsTenantId security_result.detection_fields.key Définissez-le sur "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Mappage direct.
usrName principal.user.userid Mappage direct. Si has_principal est vrai et has_target est vrai, alors NETWORK_CONNECTION. Sinon, si has_principal est "true", STATUS_UPDATE. Sinon, si has_target est vrai et que has_principal est faux, alors USER_UNCATEGORIZED. Dans le cas contraire, GENERIC_EVENT. Définissez cette valeur sur AUTHTYPE_UNSPECIFIED si event_type est USER_UNCATEGORIZED. Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC principale est extraite. Sinon, elle est initialisée sur "false". Définissez cette valeur sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC cible est extraite. Sinon, elle est initialisée sur "false". Correspond à l'horodatage de l'événement de niveau supérieur. Définissez-le sur "Trend Micro".

Modifications

2024-04-29

  • Analyseur nouvellement créé.