Coletar registros do Trend Micro Cloud One

Compatível com:

Visão geral

Esse analisador processa registros formatados em syslog e JSON da Trend Micro Cloud One. Ele extrai pares de chave-valor de mensagens formatadas em LEEF, normaliza valores de severidade, identifica entidades principais e de destino (IP, nome do host, usuário) e mapeia os dados para o esquema do UDM. Se o formato LEEF não for detectado, o analisador tentará processar a entrada como JSON e extrair os campos relevantes.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Trend Micro Cloud One.
  • Verifique se você tem um host do Windows 2012 SP2 ou posterior ou um host do Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

  1. Para a instalação do Windows, execute o seguinte script: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Para a instalação no Linux, execute o seguinte script: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse a máquina com o BindPlane.
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
      udplog:
        # Replace the below port <5514> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:514" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reinicie o agente BindPlane para aplicar as mudanças usando o seguinte comando: sudo systemctl bindplane restart

Configurar o Syslog do Trend Micro Cloud One

  1. Acesse Políticas > Objetos comuns > Outros > Configurações de Syslog.
  2. Clique em Novo > Nova configuração > Geral
  3. Especifique valores para os seguintes parâmetros:
    • Nome: nome exclusivo que identifica a configuração (por exemplo, Servidor de BindPlance do Google SecOps).
    • Nome do servidor: insira o endereço IP do agente do BindPlane.
    • Porta do servidor: digite a porta do agente do BindPlane (por exemplo, 514).
    • Transporte: selecione UDP.
    • Formato do evento: selecione Syslog.
    • Incluir fuso horário nos eventos: não selecione.
    • Instalação: tipo de processo com que os eventos serão associados.
    • Os agentes precisam encaminhar registros: selecione o servidor Syslog.
    • Clique em Salvar.

Exportar eventos do sistema no Trend Micro Cloud One

  1. Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
  2. Encaminhar eventos do sistema para um computador remoto (via Syslog) usando a configuração, selecione a configuração criada na etapa anterior.
  3. Clique em Salvar.

Exportar eventos de segurança no Trend Micro Cloud One

  1. Acesse Políticas.
  2. Clique na política usada pelos computadores.
  3. Acesse Configurações > Encaminhamento de eventos.
  4. Frequência de encaminhamento de eventos (do agente/dispositivo): escolha Período entre o envio de eventos e selecione a frequência de encaminhamento dos eventos de segurança.
  5. Configuração de encaminhamento de eventos (do agente/aparelho): escolha Configuração de syslog antimalware e selecione a configuração criada na etapa anterior.
  6. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ato security_result.action Se act for "negar" ou "bloquear" (sem diferenciação entre maiúsculas e minúsculas), então BLOCK. Se act for "pass" ou "allow" (não diferencia maiúsculas e minúsculas), então ALLOW. Se act for "update" ou "rename" (sem diferenciação entre maiúsculas e minúsculas), então ALLOW_WITH_MODIFICATION. Se act for "quarentena" (não diferencia maiúsculas de minúsculas), então QUARANTINE. Caso contrário, UNKNOWN_ACTION.
ato security_result.action_details Mapeado diretamente.
gato security_result.category_details Mapeado diretamente.
cn1 target.asset_id Prefixado com "ID do host:" se cn1Label for "ID do host".
desc metadata.description Mapeado diretamente.
dvchost target.asset.hostname Mapeado diretamente.
dvchost target.hostname Mapeado diretamente.
log_type metadata.product_name Mapeado diretamente.
msg security_result.description Mapeado diretamente.
nome security_result.summary Mapeado diretamente.
organização target.administrative_domain Mapeado diretamente.
proto additional.fields.key Defina como "Protocolo" se o campo proto não puder ser convertido em um número inteiro.
proto additional.fields.value.string_value Mapeado diretamente se o campo proto não puder ser convertido em um número inteiro.
proto network.ip_protocol Mapeado usando a lógica parse_ip_protocol.include, que converte o número do protocolo no nome correspondente (por exemplo, "6" se torna "TCP").
product_version metadata.product_version Mapeado diretamente.
sev security_result.severity Se sev for "0", "1", "2", "3" ou "low" (não diferencia maiúsculas e minúsculas), então LOW. Se sev for "4", "5", "6" ou "medium" (sem distinção entre maiúsculas e minúsculas), então MEDIUM. Se sev for "7", "8" ou "high" (não diferencia maiúsculas de minúsculas), então HIGH. Se sev for "9", "10" ou "muito alto" (não diferencia maiúsculas de minúsculas), então CRITICAL.
sev security_result.severity_details Mapeado diretamente.
src principal.asset.hostname Mapeado diretamente se não for um endereço IP válido.
src principal.asset.ip Mapeado diretamente se for um endereço IP válido.
src principal.hostname Mapeado diretamente se não for um endereço IP válido.
src principal.ip Mapeado diretamente se for um endereço IP válido.
TrendMicroDsTenant security_result.detection_fields.key Defina como "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Mapeado diretamente.
TrendMicroDsTenantId security_result.detection_fields.key Defina como "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Mapeado diretamente.
usrName principal.user.userid Mapeado diretamente. Se has_principal for verdadeiro e has_target for verdadeiro, então NETWORK_CONNECTION. Caso contrário, se has_principal for verdadeiro, então STATUS_UPDATE. Caso contrário, se has_target for verdadeiro e has_principal for falso, então USER_UNCATEGORIZED. Caso contrário, GENERIC_EVENT. Defina como AUTHTYPE_UNSPECIFIED se event_type for USER_UNCATEGORIZED. Defina como "true" se um IP principal, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Defina como "true" se um IP de destino, nome de host ou endereço MAC for extraído. Caso contrário, é inicializado como "false". Igual ao carimbo de data/hora do evento de nível superior. Defina como "Trend Micro".

Alterações

2024-04-29

  • Parser recém-criado.