Raccogliere i log di Trend Micro Cloud One
Panoramica
Questo parser gestisce i log syslog e JSON di Trend Micro Cloud One. Estrae le coppie chiave-valore dai messaggi con formato LEEF, normalizza i valori di gravità, identifica le entità principali e di destinazione (IP, nome host, utente) e mappa i dati nello schema UDM. Se il formato LEEF non viene rilevato, l'analizzatore tenta di elaborare l'input come JSON ed estrarre i campi pertinenti di conseguenza.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso con privilegi a Trend Micro Cloud One.
- Assicurati di avere Windows 2012 SP2 o versioni successive o un host Linux con systemd.
- Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
- Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Per l'installazione su Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
- Accedi alla macchina con BindPlane.
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Riavviare BindPlane Agent per applicare le modifiche utilizzando il seguente comando:
sudo systemctl bindplane restart
Configurare Syslog da Trend Micro Cloud One
- Vai a Norme > Oggetti comuni > Altro > Configurazioni Syslog.
- Fai clic su Nuova > Nuova configurazione > Generali.
- Specifica i valori per i seguenti parametri:
- Nome: nome univoco che identifica la configurazione (ad esempio, Server BindPlance di Google SecOps).
- Nome del server: inserisci l'indirizzo IP dell'agente BindPlane.
- Porta del server: inserisci la porta dell'agente BindPlane (ad esempio 514).
- Protocollo di trasporto: seleziona UDP.
- Formato evento: seleziona Syslog.
- Includi il fuso orario negli eventi: mantieni deselezionata questa opzione.
- Struttura: tipo di processo a cui verranno associati gli eventi.
- Gli agenti devono inoltrare i log: seleziona il server Syslog.
- Fai clic su Salva.
Esportare gli eventi di sistema in Trend Micro Cloud One
- Vai a Amministrazione > Impostazioni di sistema > Inoltro eventi.
- Inoltra gli eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione creata nel passaggio precedente.
- Fai clic su Salva.
Esportare gli eventi di sicurezza in Trend Micro Cloud One
- Vai a Norme.
- Fai clic sul criterio utilizzato dai computer.
- Vai a Impostazioni > Inoltro eventi.
- Frequenza di inoltro degli eventi (dall'agente/dall'appliance): scegli Periodo tra l'invio degli eventi e seleziona la frequenza con cui verranno inoltrati gli eventi di sicurezza.
- Configurazione inoltro eventi (dall'agente/dall'appliance): scegli Configurazione Syslog antimalware e seleziona la configurazione creata nel passaggio precedente.
- Fai clic su Salva.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
agire | security_result.action |
Se act è "deny" o "block" (senza distinzione tra maiuscole e minuscole), BLOCK . Se act è "pass" o "allow" (senza distinzione tra maiuscole e minuscole), ALLOW . Se act è "update" o "rename" (senza distinzione tra maiuscole e minuscole), ALLOW_WITH_MODIFICATION . Se act è "quarantine" (senza distinzione tra maiuscole e minuscole), QUARANTINE . In caso contrario, UNKNOWN_ACTION . |
agire | security_result.action_details |
Mappatura diretta. |
gatto | security_result.category_details |
Mappatura diretta. |
cn1 | target.asset_id |
Deve essere preceduto da "ID host:" se cn1Label è "ID host". |
decr | metadata.description |
Mappatura diretta. |
dvchost | target.asset.hostname |
Mappatura diretta. |
dvchost | target.hostname |
Mappatura diretta. |
log_type | metadata.product_name |
Mappatura diretta. |
msg | security_result.description |
Mappatura diretta. |
nome | security_result.summary |
Mappatura diretta. |
organizzazione | target.administrative_domain |
Mappatura diretta. |
proto | additional.fields.key |
Imposta su "Protocollo" se il campo proto non può essere convertito in un numero intero. |
proto | additional.fields.value.string_value |
Mappato direttamente se il campo proto non può essere convertito in un numero intero. |
proto | network.ip_protocol |
Mappato utilizzando la logica parse_ip_protocol.include , che converte il numero di protocollo nel nome corrispondente (ad es. "6" diventa "TCP"). |
product_version | metadata.product_version |
Mappatura diretta. |
sev | security_result.severity |
Se sev è "0", "1", "2", "3" o "basso" (non è sensibile alle maiuscole), LOW . Se sev è "4", "5", "6" o "medio" (senza distinzione tra maiuscole e minuscole), MEDIUM . Se sev è "7", "8" o "alto" (senza distinzione tra maiuscole e minuscole), HIGH . Se sev è "9", "10" o "molto alto" (non è sensibile alle maiuscole), CRITICAL . |
sev | security_result.severity_details |
Mappatura diretta. |
src | principal.asset.hostname |
Mappato direttamente se non è un indirizzo IP valido. |
src | principal.asset.ip |
Mappato direttamente se si tratta di un indirizzo IP valido. |
src | principal.hostname |
Mappato direttamente se non è un indirizzo IP valido. |
src | principal.ip |
Mappato direttamente se si tratta di un indirizzo IP valido. |
TrendMicroDsTenant | security_result.detection_fields.key |
Impostato su "TrendMicroDsTenant". |
TrendMicroDsTenant | security_result.detection_fields.value |
Mappatura diretta. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Impostato su "TrendMicroDsTenantId". |
TrendMicroDsTenantId | security_result.detection_fields.value |
Mappatura diretta. |
usrName | principal.user.userid |
Mappatura diretta. Se has_principal è vero e has_target è vero, allora NETWORK_CONNECTION . Altrimenti, se has_principal è true, STATUS_UPDATE . Altrimenti, se has_target è vero e has_principal è falso, allora USER_UNCATEGORIZED . In caso contrario, GENERIC_EVENT . Imposta AUTHTYPE_UNSPECIFIED se event_type è USER_UNCATEGORIZED . Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC principale. In caso contrario, viene inizializzato su "false". Imposta su "true" se viene estratto un indirizzo IP, un nome host o un indirizzo MAC target. In caso contrario, viene inizializzato su "false". Uguale al timestamp dell'evento di primo livello. Imposta su "Trend Micro". |
Modifiche
2024-04-29
- Parser appena creato.