Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Trend Micro Cloud One

Didukung di:

Google SecOps SIEM

Ringkasan

Parser ini menangani log berformat syslog dan JSON dari Trend Micro Cloud One. Alat ini mengekstrak pasangan nilai kunci dari pesan berformat LEEF, menormalisasi nilai keparahan, mengidentifikasi entitas utama dan target (IP, nama host, pengguna), serta memetakan data ke dalam skema UDM. Jika format LEEF tidak terdeteksi, parser akan mencoba memproses input sebagai JSON dan mengekstrak kolom yang relevan.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke Trend Micro Cloud One.
Pastikan Anda memiliki Windows 2012 SP2 atau yang lebih baru atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses komputer dengan BindPlane.

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen BindPlane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengonfigurasi Syslog dari Trend Micro Cloud One

Buka Kebijakan > Objek Umum > Lainnya > Konfigurasi Syslog.
Klik New > New Configuration > General
Tentukan nilai untuk parameter berikut:
- Name: Nama unik yang mengidentifikasi konfigurasi (misalnya, server BindPlance Google SecOps).
- Nama Server: Masukkan alamat IP Agen BindPlane.
- Server Port: Masukkan port Agen BindPlane (misalnya, 514).
- Transport: Pilih UDP.
- Format Peristiwa: Pilih Syslog.
- Sertakan zona waktu dalam peristiwa: Tetap tidak dipilih.
- Fasilitas: Jenis proses yang akan dikaitkan dengan peristiwa.
- Agen harus meneruskan log: Pilih server Syslog.
- Klik Simpan.

Mengekspor peristiwa sistem di Trend Micro Cloud One

Buka Administrasi > Setelan Sistem > Penerusan Peristiwa.
Teruskan Peristiwa Sistem ke komputer jarak jauh (melalui Syslog) menggunakan konfigurasi, pilih konfigurasi yang dibuat di langkah sebelumnya.
Klik Simpan.

Mengekspor peristiwa keamanan di Trend Micro Cloud One

Buka Kebijakan.
Klik kebijakan yang digunakan oleh komputer.
Buka Setelan > Penerusan Peristiwa.
Frekuensi Penerusan Peristiwa (dari Agen/Perangkat): pilih Periode antara pengiriman peristiwa dan pilih seberapa sering peristiwa keamanan akan diteruskan.
Konfigurasi Penerusan Peristiwa (dari Agen/Aplikasi): pilih Konfigurasi Syslog Anti-Malware dan pilih konfigurasi yang dibuat di langkah sebelumnya.
Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
tindakan	`security_result.action`	Jika `act` adalah "deny" atau "block" (tidak peka huruf besar/kecil), maka `BLOCK`. Jika `act` adalah "pass" atau "allow" (tidak peka huruf besar/kecil), maka `ALLOW`. Jika `act` adalah "update" atau "rename" (tidak peka huruf besar/kecil), maka `ALLOW_WITH_MODIFICATION`. Jika `act` adalah "quarantine" (tidak peka huruf besar/kecil), maka `QUARANTINE`. Atau, `UNKNOWN_ACTION`.
tindakan	`security_result.action_details`	Dipetakan secara langsung.
cat	`security_result.category_details`	Dipetakan secara langsung.
cn1	`target.asset_id`	Diawali dengan "Host Id:" jika `cn1Label` adalah "Host ID".
menurun	`metadata.description`	Dipetakan secara langsung.
dvchost	`target.asset.hostname`	Dipetakan secara langsung.
dvchost	`target.hostname`	Dipetakan secara langsung.
log_type	`metadata.product_name`	Dipetakan secara langsung.
msg	`security_result.description`	Dipetakan secara langsung.
nama	`security_result.summary`	Dipetakan secara langsung.
organisasi	`target.administrative_domain`	Dipetakan secara langsung.
proto	`additional.fields.key`	Tetapkan ke "Protokol" jika kolom `proto` tidak dapat dikonversi menjadi bilangan bulat.
proto	`additional.fields.value.string_value`	Dipetakan langsung jika kolom `proto` tidak dapat dikonversi menjadi bilangan bulat.
proto	`network.ip_protocol`	Dipetakan menggunakan logika `parse_ip_protocol.include`, yang mengonversi nomor protokol ke nama yang sesuai (misalnya, "6" menjadi "TCP").
product_version	`metadata.product_version`	Dipetakan secara langsung.
sev	`security_result.severity`	Jika `sev` adalah "0", "1", "2", "3", atau "low" (tidak peka huruf besar/kecil), maka `LOW`. Jika `sev` adalah "4", "5", "6", atau "medium" (tidak peka huruf besar/kecil), maka `MEDIUM`. Jika `sev` adalah "7", "8", atau "high" (tidak peka huruf besar/kecil), maka `HIGH`. Jika `sev` adalah "9", "10", atau "sangat tinggi" (tidak peka huruf besar/kecil), maka `CRITICAL`.
sev	`security_result.severity_details`	Dipetakan secara langsung.
src	`principal.asset.hostname`	Dipetakan langsung jika bukan alamat IP yang valid.
src	`principal.asset.ip`	Dipetakan langsung jika merupakan alamat IP yang valid.
src	`principal.hostname`	Dipetakan langsung jika bukan alamat IP yang valid.
src	`principal.ip`	Dipetakan langsung jika merupakan alamat IP yang valid.
TrendMicroDsTenant	`security_result.detection_fields.key`	Tetapkan ke "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Dipetakan secara langsung.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Tetapkan ke "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Dipetakan secara langsung.
usrName	`principal.user.userid`	Dipetakan secara langsung. Jika `has_principal` bernilai benar dan `has_target` bernilai benar, maka `NETWORK_CONNECTION`. Jika tidak, jika `has_principal` bernilai benar, maka `STATUS_UPDATE`. Jika tidak, jika `has_target` benar dan `has_principal` salah, maka `USER_UNCATEGORIZED`. Atau, `GENERIC_EVENT`. Tetapkan ke `AUTHTYPE_UNSPECIFIED` jika `event_type` adalah `USER_UNCATEGORIZED`. Tetapkan ke "true" jika IP utama, nama host, atau alamat MAC diekstrak. Jika tidak, diinisialisasi ke "false". Tetapkan ke "true" jika IP target, nama host, atau alamat MAC diekstrak. Jika tidak, diinisialisasi ke "false". Sama seperti stempel waktu peristiwa tingkat teratas. Tetapkan ke "Trend Micro".

Perubahan

2024-04-29

Parser yang baru dibuat.