Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Trend Micro Cloud One

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador processa registros formatados em syslog e JSON da Trend Micro Cloud One. Ele extrai pares de chave-valor de mensagens formatadas em LEEF, normaliza valores de severidade, identifica entidades principais e de destino (IP, nome do host, usuário) e mapeia os dados para o esquema do UDM. Se o formato LEEF não for detectado, o analisador tentará processar a entrada como JSON e extrair os campos relevantes.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você tem acesso privilegiado ao Trend Micro Cloud One.
Verifique se você tem um host do Windows 2012 SP2 ou posterior ou um host do Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Para a instalação do Windows, execute o seguinte script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Para a instalação no Linux, execute o seguinte script: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse a máquina com o agente Bindplane.

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças usando o seguinte comando: sudo systemctl bindplane restart

Configurar o Syslog do Trend Micro Cloud One

Acesse Políticas > Objetos comuns > Outros > Configurações de Syslog.
Clique em Novo > Nova configuração > Geral
Especifique valores para os seguintes parâmetros:
- Nome: nome exclusivo que identifica a configuração (por exemplo, Servidor de BindPlance do Google SecOps).
- Nome do servidor: insira o endereço IP do agente do Bindplane.
- Porta do servidor: digite a porta do agente do Bindplane (por exemplo, 514).
- Transporte: selecione UDP.
- Formato do evento: selecione Syslog.
- Incluir fuso horário nos eventos: não selecione.
- Instalação: tipo de processo com que os eventos serão associados.
- Os agentes precisam encaminhar registros: selecione o servidor Syslog.
- Clique em Salvar.

Exportar eventos do sistema no Trend Micro Cloud One

Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
Encaminhar eventos do sistema para um computador remoto (via Syslog) usando a configuração, selecione a configuração criada na etapa anterior.
Clique em Salvar.

Exportar eventos de segurança no Trend Micro Cloud One

Acesse Políticas.
Clique na política usada pelos computadores.
Acesse Configurações > Encaminhamento de eventos.
Frequência de encaminhamento de eventos (do agente/aparelho): escolha Período entre o envio de eventos e selecione a frequência de encaminhamento dos eventos de segurança.
Configuração de encaminhamento de eventos (do agente/aparelho): escolha Configuração de Syslog antimalware e selecione a configuração criada na etapa anterior.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ato	`security_result.action`	Se `act` for "negar" ou "bloquear" (sem diferenciação entre maiúsculas e minúsculas), então `BLOCK`. Se `act` for "pass" ou "allow" (não diferencia maiúsculas e minúsculas), então `ALLOW`. Se `act` for "update" ou "rename" (sem diferenciação entre maiúsculas e minúsculas), então `ALLOW_WITH_MODIFICATION`. Se `act` for "quarentena" (não diferencia maiúsculas de minúsculas), então `QUARANTINE`. Caso contrário, `UNKNOWN_ACTION`.
ato	`security_result.action_details`	Mapeado diretamente.
gato	`security_result.category_details`	Mapeado diretamente.
cn1	`target.asset_id`	Prefixado com "ID do host:" se `cn1Label` for "ID do host".
desc	`metadata.description`	Mapeado diretamente.
dvchost	`target.asset.hostname`	Mapeado diretamente.
dvchost	`target.hostname`	Mapeado diretamente.
log_type	`metadata.product_name`	Mapeado diretamente.
msg	`security_result.description`	Mapeado diretamente.
nome	`security_result.summary`	Mapeado diretamente.
organização	`target.administrative_domain`	Mapeado diretamente.
proto	`additional.fields.key`	Defina como "Protocolo" se o campo `proto` não puder ser convertido em um número inteiro.
proto	`additional.fields.value.string_value`	Mapeado diretamente se o campo `proto` não puder ser convertido em um número inteiro.
proto	`network.ip_protocol`	Mapeado usando a lógica `parse_ip_protocol.include`, que converte o número do protocolo no nome correspondente (por exemplo, "6" se torna "TCP").
product_version	`metadata.product_version`	Mapeado diretamente.
sev	`security_result.severity`	Se `sev` for "0", "1", "2", "3" ou "low" (não diferencia maiúsculas e minúsculas), então `LOW`. Se `sev` for "4", "5", "6" ou "medium" (sem distinção entre maiúsculas e minúsculas), então `MEDIUM`. Se `sev` for "7", "8" ou "high" (sem distinção entre maiúsculas e minúsculas), então `HIGH`. Se `sev` for "9", "10" ou "muito alto" (não diferencia maiúsculas de minúsculas), então `CRITICAL`.
sev	`security_result.severity_details`	Mapeado diretamente.
src	`principal.asset.hostname`	Mapeado diretamente se não for um endereço IP válido.
src	`principal.asset.ip`	Mapeado diretamente se for um endereço IP válido.
src	`principal.hostname`	Mapeado diretamente se não for um endereço IP válido.
src	`principal.ip`	Mapeado diretamente se for um endereço IP válido.
TrendMicroDsTenant	`security_result.detection_fields.key`	Defina como "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mapeado diretamente.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Defina como "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mapeado diretamente.
usrName	`principal.user.userid`	Mapeado diretamente. Se `has_principal` for verdadeiro e `has_target` for verdadeiro, então `NETWORK_CONNECTION`. Caso contrário, se `has_principal` for verdadeiro, então `STATUS_UPDATE`. Caso contrário, se `has_target` for verdadeiro e `has_principal` for falso, então `USER_UNCATEGORIZED`. Caso contrário, `GENERIC_EVENT`. Defina como `AUTHTYPE_UNSPECIFIED` se `event_type` for `USER_UNCATEGORIZED`. Defina como "true" se um IP principal, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Defina como "true" se um IP de destino, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Igual ao carimbo de data/hora do evento de nível superior. Defina como "Trend Micro".

Alterações

2024-04-29

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.