Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Trend Micro Cloud One

Supportato in:

Google SecOps SIEM

Panoramica

Questo parser gestisce i log syslog e JSON di Trend Micro Cloud One. Estrae le coppie chiave-valore dai messaggi con formato LEEF, normalizza i valori di gravità, identifica le entità principali e di destinazione (IP, nome host, utente) e mappa i dati nello schema UDM. Se il formato LEEF non viene rilevato, l'analizzatore tenta di elaborare l'input come JSON ed estrarre i campi pertinenti di conseguenza.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso con privilegi a Trend Micro Cloud One.
Assicurati di avere Windows 2012 SP2 o versioni successive o un host Linux con systemd.
Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Per l'installazione su Windows, esegui il seguente script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Per l'installazione su Linux, esegui il seguente script: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

Accedi alla macchina con BindPlane.

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Riavviare BindPlane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Configurare Syslog da Trend Micro Cloud One

Vai a Norme > Oggetti comuni > Altro > Configurazioni Syslog.
Fai clic su Nuova > Nuova configurazione > Generali.
Specifica i valori per i seguenti parametri:
- Nome: nome univoco che identifica la configurazione (ad esempio, Server BindPlance di Google SecOps).
- Nome del server: inserisci l'indirizzo IP dell'agente BindPlane.
- Porta del server: inserisci la porta dell'agente BindPlane (ad esempio 514).
- Protocollo di trasporto: seleziona UDP.
- Formato evento: seleziona Syslog.
- Includi il fuso orario negli eventi: mantieni deselezionata questa opzione.
- Struttura: tipo di processo a cui verranno associati gli eventi.
- Gli agenti devono inoltrare i log: seleziona il server Syslog.
- Fai clic su Salva.

Esportare gli eventi di sistema in Trend Micro Cloud One

Vai a Amministrazione > Impostazioni di sistema > Inoltro eventi.
Inoltra gli eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione creata nel passaggio precedente.
Fai clic su Salva.

Esportare gli eventi di sicurezza in Trend Micro Cloud One

Vai a Norme.
Fai clic sul criterio utilizzato dai computer.
Vai a Impostazioni > Inoltro eventi.
Frequenza di inoltro degli eventi (dall'agente/dall'appliance): scegli Periodo tra l'invio degli eventi e seleziona la frequenza con cui verranno inoltrati gli eventi di sicurezza.
Configurazione inoltro eventi (dall'agente/dall'appliance): scegli Configurazione Syslog antimalware e seleziona la configurazione creata nel passaggio precedente.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
agire	`security_result.action`	Se `act` è "deny" o "block" (senza distinzione tra maiuscole e minuscole), `BLOCK`. Se `act` è "pass" o "allow" (senza distinzione tra maiuscole e minuscole), `ALLOW`. Se `act` è "update" o "rename" (senza distinzione tra maiuscole e minuscole), `ALLOW_WITH_MODIFICATION`. Se `act` è "quarantine" (senza distinzione tra maiuscole e minuscole), `QUARANTINE`. In caso contrario, `UNKNOWN_ACTION`.
agire	`security_result.action_details`	Mappatura diretta.
gatto	`security_result.category_details`	Mappatura diretta.
cn1	`target.asset_id`	Deve essere preceduto da "ID host:" se `cn1Label` è "ID host".
decr	`metadata.description`	Mappatura diretta.
dvchost	`target.asset.hostname`	Mappatura diretta.
dvchost	`target.hostname`	Mappatura diretta.
log_type	`metadata.product_name`	Mappatura diretta.
msg	`security_result.description`	Mappatura diretta.
nome	`security_result.summary`	Mappatura diretta.
organizzazione	`target.administrative_domain`	Mappatura diretta.
proto	`additional.fields.key`	Imposta su "Protocollo" se il campo `proto` non può essere convertito in un numero intero.
proto	`additional.fields.value.string_value`	Mappato direttamente se il campo `proto` non può essere convertito in un numero intero.
proto	`network.ip_protocol`	Mappato utilizzando la logica `parse_ip_protocol.include`, che converte il numero di protocollo nel nome corrispondente (ad es. "6" diventa "TCP").
product_version	`metadata.product_version`	Mappatura diretta.
sev	`security_result.severity`	Se `sev` è "0", "1", "2", "3" o "basso" (non è sensibile alle maiuscole), `LOW`. Se `sev` è "4", "5", "6" o "medio" (senza distinzione tra maiuscole e minuscole), `MEDIUM`. Se `sev` è "7", "8" o "alto" (senza distinzione tra maiuscole e minuscole), `HIGH`. Se `sev` è "9", "10" o "molto alto" (non è sensibile alle maiuscole), `CRITICAL`.
sev	`security_result.severity_details`	Mappatura diretta.
src	`principal.asset.hostname`	Mappato direttamente se non è un indirizzo IP valido.
src	`principal.asset.ip`	Mappato direttamente se si tratta di un indirizzo IP valido.
src	`principal.hostname`	Mappato direttamente se non è un indirizzo IP valido.
src	`principal.ip`	Mappato direttamente se si tratta di un indirizzo IP valido.
TrendMicroDsTenant	`security_result.detection_fields.key`	Impostato su "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mappatura diretta.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Impostato su "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mappatura diretta.
usrName	`principal.user.userid`	Mappatura diretta. Se `has_principal` è vero e `has_target` è vero, allora `NETWORK_CONNECTION`. Altrimenti, se `has_principal` è true, `STATUS_UPDATE`. Altrimenti, se `has_target` è vero e `has_principal` è falso, allora `USER_UNCATEGORIZED`. In caso contrario, `GENERIC_EVENT`. Imposta `AUTHTYPE_UNSPECIFIED` se `event_type` è `USER_UNCATEGORIZED`. Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC principale. In caso contrario, viene inizializzato su "false". Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC target. In caso contrario, viene inizializzato su "false". Uguale al timestamp dell'evento di primo livello. Imposta su "Trend Micro".

Modifiche

2024-04-29

Parser appena creato.