このページは Cloud Translation API によって翻訳されました。

Trend Micro Cloud One のログを収集する

以下でサポートされています。

Google SecOpsSIEM

概要

このパーサーは、Trend Micro Cloud One の syslog と JSON 形式のログを処理します。LEEF 形式のメッセージから Key-Value ペアを抽出し、重大度値を正規化し、プリンシパルとターゲットエンティティ（IP、ホスト名、ユーザー）を特定し、データを UDM スキーマにマッピングします。LEEF 形式が検出されなかった場合、パーサーは入力を JSON として処理し、それに応じて関連するフィールドを抽出しようとします。

始める前に

Google SecOps インスタンスがあることを確認します。
Trend Micro Cloud One への特権アクセス権があることを確認します。
Windows 2012 SP2 以降または systemd を搭載した Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプト msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet を実行します。
Linux へのインストールの場合は、sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh スクリプトを実行します。
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

BindPlane を使用してマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して BindPlane エージェントを再起動して、変更を適用します。 sudo systemctl bindplane restart

Trend Micro Cloud One から Syslog を構成する

[ポリシー] > [共通オブジェクト] > [その他] > [Syslog 構成] に移動します。
[新規] > [新しい構成] > [全般] をクリックします。
次のパラメータの値を指定します。
- 名前: 構成を識別する一意の名前（Google SecOps BindPlance サーバーなど）。
- サーバー名: BindPlane Agent の IP アドレスを入力します。
- サーバーポート: BindPlane エージェントのポートを入力します（例: 514）。
- Transport: [UDP] を選択します。
- イベントの形式: [Syslog] を選択します。
- 予定にタイムゾーンを含める: 選択しないで設定します。
- 施設: イベントが関連付けられるプロセスのタイプ。
- エージェントがログを転送する必要がある: [Syslog] サーバーを選択します。
- [保存] をクリックします。

Trend Micro Cloud One でシステムイベントをエクスポートする

[管理] > [システム設定] > [イベント転送] に移動します。
構成を使用して（Syslog 経由で）システムイベントをリモートコンピュータに転送するには、前の手順で作成した構成を選択します。
[保存] をクリックします。

Trend Micro Cloud One でセキュリティイベントをエクスポートする

[ポリシー] に移動します。
パソコンで使用されているポリシーをクリックします。
[設定] > [イベント転送] に移動します。
イベント転送の頻度（エージェント/アプライアンスから）: [イベントの送信間隔] を選択し、セキュリティイベントを転送する頻度を選択します。
イベント転送構成（エージェントまたはアプライアンスから）: [Anti-Malware Syslog Configuration] を選択し、前の手順で作成した構成を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
対処	`security_result.action`	`act` が「deny」または「block」（大文字と小文字は区別されません）の場合は `BLOCK`。`act` が「pass」または「allow」（大文字と小文字は区別されません）の場合、`ALLOW` です。`act` が「update」または「rename」（大文字と小文字は区別されません）の場合は `ALLOW_WITH_MODIFICATION` です。`act` が「quarantine」の場合（大文字と小文字は区別されません）、`QUARANTINE` です。そうでない場合は `UNKNOWN_ACTION`。
対処	`security_result.action_details`	直接マッピング。
猫	`security_result.category_details`	直接マッピング。
cn1	`target.asset_id`	`cn1Label` が「Host ID」の場合、「Host Id:」が接頭辞として追加されます。
降順	`metadata.description`	直接マッピング。
dvchost	`target.asset.hostname`	直接マッピング。
dvchost	`target.hostname`	直接マッピング。
log_type	`metadata.product_name`	直接マッピング。
msg	`security_result.description`	直接マッピング。
name	`security_result.summary`	直接マッピング。
組織	`target.administrative_domain`	直接マッピング。
proto	`additional.fields.key`	`proto` フィールドを整数に変換できない場合は、「プロトコル」に設定します。
proto	`additional.fields.value.string_value`	`proto` フィールドを整数に変換できない場合は、直接マッピングされます。
proto	`network.ip_protocol`	`parse_ip_protocol.include` ロジックを使用してマッピングされます。このロジックは、プロトコル番号を対応する名前（6」は「TCP」になります）。
product_version	`metadata.product_version`	直接マッピング。
sev	`security_result.severity`	`sev` が「0」、「1」、「2」、「3」、「low」の場合（大文字と小文字は区別されません）、`LOW`。`sev` が「4」、「5」、「6」、「medium」（大文字と小文字は区別されません）の場合、`MEDIUM`。`sev` が「7」、「8」、「high」の場合（大文字と小文字は区別されません）、`HIGH` です。`sev` が「9」、「10」、「非常に高い」（大文字と小文字は区別されません）の場合、`CRITICAL` です。
sev	`security_result.severity_details`	直接マッピング。
src	`principal.asset.hostname`	有効な IP アドレスでない場合は、直接マッピングされます。
src	`principal.asset.ip`	有効な IP アドレスの場合は直接マッピングされます。
src	`principal.hostname`	有効な IP アドレスでない場合は、直接マッピングされます。
src	`principal.ip`	有効な IP アドレスの場合は直接マッピングされます。
TrendMicroDsTenant	`security_result.detection_fields.key`	「TrendMicroDsTenant」に設定します。
TrendMicroDsTenant	`security_result.detection_fields.value`	直接マッピング。
TrendMicroDsTenantId	`security_result.detection_fields.key`	「TrendMicroDsTenantId」に設定します。
TrendMicroDsTenantId	`security_result.detection_fields.value`	直接マッピング。
usrName	`principal.user.userid`	直接マッピング。`has_principal` が true で `has_target` が true の場合、`NETWORK_CONNECTION` です。それ以外の場合、`has_principal` が true なら `STATUS_UPDATE` です。`has_target` が true で `has_principal` が false の場合は `USER_UNCATEGORIZED` です。そうでない場合は `GENERIC_EVENT`。`event_type` が `USER_UNCATEGORIZED` の場合、`AUTHTYPE_UNSPECIFIED` に設定します。プリンシパルの IP アドレス、ホスト名、MAC アドレスが抽出される場合は「true」に設定します。それ以外の場合は、false に初期化されます。ターゲットの IP アドレス、ホスト名、MAC アドレスが抽出される場合は「true」に設定します。それ以外の場合は、false に初期化されます。最上位イベントのタイムスタンプと同じです。「Trend Micro」に設定します。

変更点

2024-04-29

新しく作成されたパーサー。