Coletar registros do Trend Micro Cloud One
Visão geral
Esse analisador processa registros formatados em syslog e JSON da Trend Micro Cloud One. Ele extrai pares de chave-valor de mensagens formatadas em LEEF, normaliza valores de severidade, identifica entidades principais e de destino (IP, nome do host, usuário) e mapeia os dados para o esquema do UDM. Se o formato LEEF não for detectado, o analisador tentará processar a entrada como JSON e extrair os campos relevantes.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao Trend Micro Cloud One.
- Verifique se você tem um host do Windows 2012 SP2 ou posterior ou um host do Linux com systemd.
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
- Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Para a instalação no Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Outras opções de instalação podem ser encontradas neste guia de instalação.
Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps
- Acesse a máquina com o BindPlane.
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Reinicie o agente BindPlane para aplicar as mudanças usando o seguinte comando:
sudo systemctl bindplane restart
Configurar o Syslog do Trend Micro Cloud One
- Acesse Políticas > Objetos comuns > Outros > Configurações de Syslog.
- Clique em Novo > Nova configuração > Geral
- Especifique valores para os seguintes parâmetros:
- Nome: nome exclusivo que identifica a configuração (por exemplo, Servidor de BindPlance do Google SecOps).
- Nome do servidor: insira o endereço IP do agente do BindPlane.
- Porta do servidor: digite a porta do agente do BindPlane (por exemplo, 514).
- Transporte: selecione UDP.
- Formato do evento: selecione Syslog.
- Incluir fuso horário nos eventos: não selecione.
- Instalação: tipo de processo com que os eventos serão associados.
- Os agentes precisam encaminhar registros: selecione o servidor Syslog.
- Clique em Salvar.
Exportar eventos do sistema no Trend Micro Cloud One
- Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
- Encaminhar eventos do sistema para um computador remoto (via Syslog) usando a configuração, selecione a configuração criada na etapa anterior.
- Clique em Salvar.
Exportar eventos de segurança no Trend Micro Cloud One
- Acesse Políticas.
- Clique na política usada pelos computadores.
- Acesse Configurações > Encaminhamento de eventos.
- Frequência de encaminhamento de eventos (do agente/dispositivo): escolha Período entre o envio de eventos e selecione a frequência de encaminhamento dos eventos de segurança.
- Configuração de encaminhamento de eventos (do agente/aparelho): escolha Configuração de syslog antimalware e selecione a configuração criada na etapa anterior.
- Clique em Salvar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
ato | security_result.action |
Se act for "negar" ou "bloquear" (sem diferenciação entre maiúsculas e minúsculas), então BLOCK . Se act for "pass" ou "allow" (não diferencia maiúsculas e minúsculas), então ALLOW . Se act for "update" ou "rename" (sem diferenciação entre maiúsculas e minúsculas), então ALLOW_WITH_MODIFICATION . Se act for "quarentena" (não diferencia maiúsculas de minúsculas), então QUARANTINE . Caso contrário, UNKNOWN_ACTION . |
ato | security_result.action_details |
Mapeado diretamente. |
gato | security_result.category_details |
Mapeado diretamente. |
cn1 | target.asset_id |
Prefixado com "ID do host:" se cn1Label for "ID do host". |
desc | metadata.description |
Mapeado diretamente. |
dvchost | target.asset.hostname |
Mapeado diretamente. |
dvchost | target.hostname |
Mapeado diretamente. |
log_type | metadata.product_name |
Mapeado diretamente. |
msg | security_result.description |
Mapeado diretamente. |
nome | security_result.summary |
Mapeado diretamente. |
organização | target.administrative_domain |
Mapeado diretamente. |
proto | additional.fields.key |
Defina como "Protocolo" se o campo proto não puder ser convertido em um número inteiro. |
proto | additional.fields.value.string_value |
Mapeado diretamente se o campo proto não puder ser convertido em um número inteiro. |
proto | network.ip_protocol |
Mapeado usando a lógica parse_ip_protocol.include , que converte o número do protocolo no nome correspondente (por exemplo, "6" se torna "TCP"). |
product_version | metadata.product_version |
Mapeado diretamente. |
sev | security_result.severity |
Se sev for "0", "1", "2", "3" ou "low" (não diferencia maiúsculas e minúsculas), então LOW . Se sev for "4", "5", "6" ou "medium" (sem distinção entre maiúsculas e minúsculas), então MEDIUM . Se sev for "7", "8" ou "high" (não diferencia maiúsculas de minúsculas), então HIGH . Se sev for "9", "10" ou "muito alto" (não diferencia maiúsculas de minúsculas), então CRITICAL . |
sev | security_result.severity_details |
Mapeado diretamente. |
src | principal.asset.hostname |
Mapeado diretamente se não for um endereço IP válido. |
src | principal.asset.ip |
Mapeado diretamente se for um endereço IP válido. |
src | principal.hostname |
Mapeado diretamente se não for um endereço IP válido. |
src | principal.ip |
Mapeado diretamente se for um endereço IP válido. |
TrendMicroDsTenant | security_result.detection_fields.key |
Defina como "TrendMicroDsTenant". |
TrendMicroDsTenant | security_result.detection_fields.value |
Mapeado diretamente. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Defina como "TrendMicroDsTenantId". |
TrendMicroDsTenantId | security_result.detection_fields.value |
Mapeado diretamente. |
usrName | principal.user.userid |
Mapeado diretamente. Se has_principal for verdadeiro e has_target for verdadeiro, então NETWORK_CONNECTION . Caso contrário, se has_principal for verdadeiro, então STATUS_UPDATE . Caso contrário, se has_target for verdadeiro e has_principal for falso, então USER_UNCATEGORIZED . Caso contrário, GENERIC_EVENT . Defina como AUTHTYPE_UNSPECIFIED se event_type for USER_UNCATEGORIZED . Defina como "true" se um IP principal, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Defina como "true" se um IP de destino, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Igual ao carimbo de data/hora do evento de nível superior. Defina como "Trend Micro". |
Alterações
2024-04-29
- Parser recém-criado.