Raccogliere i log di Trend Micro Cloud One

Supportato in:

Panoramica

Questo parser gestisce i log in formato syslog e JSON di Trend Micro Cloud One. Estrae le coppie chiave-valore dai messaggi con formato LEEF, normalizza i valori di gravità, identifica le entità principali e di destinazione (IP, nome host, utente) e mappa i dati nello schema UDM. Se il formato LEEF non viene rilevato, l'analizzatore tenta di elaborare l'input come JSON ed estrarre i campi pertinenti di conseguenza.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a Trend Micro Cloud One.
  • Assicurati di avere Windows 2012 SP2 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

  1. Per l'installazione su Windows, esegui il seguente script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Per l'installazione su Linux, esegui lo script seguente: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi alla macchina con Bindplane Agent.

  2. Modifica il file config.yaml come segue:

    receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Riavviare Bindplane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Configurare Syslog da Trend Micro Cloud One

  1. Vai a Norme > Oggetti comuni > Altro > Configurazioni Syslog.
  2. Fai clic su Nuova > Nuova configurazione > Generali.
  3. Specifica i valori per i seguenti parametri:
    • Nome: nome univoco che identifica la configurazione (ad esempio, Server BindPlane di Google SecOps).
    • Nome del server: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta server: inserisci la porta dell'agente Bindplane (ad esempio 514).
    • Protocollo di trasporto: seleziona UDP.
    • Formato evento: seleziona Syslog.
    • Includi il fuso orario negli eventi: mantieni deselezionata.
    • Struttura: tipo di processo a cui verranno associati gli eventi.
    • Gli agenti devono inoltrare i log: seleziona il server Syslog.
    • Fai clic su Salva.

Esportare gli eventi di sistema in Trend Micro Cloud One

  1. Vai a Amministrazione > Impostazioni di sistema > Inoltro eventi.
  2. Inoltra gli eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione creata nel passaggio precedente.
  3. Fai clic su Salva.

Esportare gli eventi di sicurezza in Trend Micro Cloud One

  1. Vai a Norme.
  2. Fai clic sul criterio utilizzato dai computer.
  3. Vai a Impostazioni > Inoltro eventi.
  4. Frequenza di inoltro degli eventi (dall'agente/dall'appliance): scegli Periodo tra l'invio degli eventi e seleziona la frequenza con cui verranno inoltrati gli eventi di sicurezza.
  5. Configurazione inoltro eventi (dall'agente/dall'appliance): scegli Configurazione Syslog antimalware e seleziona la configurazione creata nel passaggio precedente.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
agire security_result.action Se act è "deny" o "block" (senza distinzione tra maiuscole e minuscole), BLOCK. Se act è "pass" o "allow" (senza distinzione tra maiuscole e minuscole), ALLOW. Se act è "update" o "rename" (senza distinzione tra maiuscole e minuscole), ALLOW_WITH_MODIFICATION. Se act è "quarantine" (senza distinzione tra maiuscole e minuscole), QUARANTINE. In caso contrario, UNKNOWN_ACTION.
agire security_result.action_details Mappatura diretta.
gatto security_result.category_details Mappatura diretta.
cn1 target.asset_id Deve essere preceduto da "ID host:" se cn1Label è "ID host".
decr metadata.description Mappatura diretta.
dvchost target.asset.hostname Mappatura diretta.
dvchost target.hostname Mappatura diretta.
log_type metadata.product_name Mappatura diretta.
msg security_result.description Mappatura diretta.
nome security_result.summary Mappatura diretta.
organizzazione target.administrative_domain Mappatura diretta.
proto additional.fields.key Imposta su "Protocollo" se il campo proto non può essere convertito in un numero intero.
proto additional.fields.value.string_value Mappato direttamente se il campo proto non può essere convertito in un numero intero.
proto network.ip_protocol Mappato utilizzando la logica parse_ip_protocol.include, che converte il numero di protocollo nel nome corrispondente (ad es. "6" diventa "TCP").
product_version metadata.product_version Mappatura diretta.
sev security_result.severity Se sev è "0", "1", "2", "3" o "basso" (non è sensibile alle maiuscole), LOW. Se sev è "4", "5", "6" o "medio" (senza distinzione tra maiuscole e minuscole), MEDIUM. Se sev è "7", "8" o "alto" (non è sensibile alle maiuscole), HIGH. Se sev è "9", "10" o "molto alto" (non è sensibile alle maiuscole), CRITICAL.
sev security_result.severity_details Mappatura diretta.
src principal.asset.hostname Mappato direttamente se non è un indirizzo IP valido.
src principal.asset.ip Mappato direttamente se si tratta di un indirizzo IP valido.
src principal.hostname Mappato direttamente se non è un indirizzo IP valido.
src principal.ip Mappato direttamente se si tratta di un indirizzo IP valido.
TrendMicroDsTenant security_result.detection_fields.key Impostato su "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Mappatura diretta.
TrendMicroDsTenantId security_result.detection_fields.key Impostato su "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Mappatura diretta.
usrName principal.user.userid Mappatura diretta. Se has_principal è vero e has_target è vero, allora NETWORK_CONNECTION. Altrimenti, se has_principal è true, STATUS_UPDATE. Altrimenti, se has_target è vero e has_principal è falso, allora USER_UNCATEGORIZED. In caso contrario, GENERIC_EVENT. Imposta AUTHTYPE_UNSPECIFIED se event_type è USER_UNCATEGORIZED. Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC principale. In caso contrario, viene inizializzato su "false". Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC target. In caso contrario, viene inizializzato su "false". Uguale al timestamp dell'evento di primo livello. Imposta su "Trend Micro".

Modifiche

2024-04-29

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.