收集 Trend Micro Cloud One 日志

支持的平台:

概览

此解析器可处理来自 Trend Micro Cloud One 的 syslog 和 JSON 格式日志。它会从采用 LEEF 格式的邮件中提取键值对,对严重程度值进行标准化处理,识别主实体和目标实体(IP、主机名、用户),并将数据映射到 UDM 架构。如果未检测到 LEEF 格式,解析器会尝试将输入内容作为 JSON 进行处理,并相应地提取相关字段。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Trend Micro Cloud One 的超级用户访问权限。
  • 确保您使用的是 Windows 2012 SP2 或更高版本,或者使用了 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

  1. 对于 Windows 安装,请运行以下脚本:msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 使用 BindPlane 访问该机器。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
      udplog:
        # Replace the below port <5514> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:514" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 使用以下命令重启 BindPlane 代理以应用更改:sudo systemctl bindplane restart

通过 Trend Micro Cloud One 配置 Syslog

  1. 依次前往政策 > 常见对象 > 其他 > Syslog 配置
  2. 依次点击新建 > 新建配置 > 常规
  3. 为以下参数指定值:
    • 名称:用于标识配置的唯一名称(例如 Google SecOps BindPlance 服务器)。
    • 服务器名称:输入 BindPlane 代理的 IP 地址。
    • 服务器端口:输入 BindPlane 代理的端口(例如 514)。
    • 传输:选择 UDP
    • 事件格式:选择 Syslog
    • 在事件中包含时区:保持未选中状态。
    • 设施:与事件相关联的流程类型。
    • 代理应转发日志:选择 Syslog 服务器。
    • 点击保存

在 Trend Micro Cloud One 中导出系统事件

  1. 依次前往管理 > 系统设置 > 事件转发
  2. 使用配置将系统事件转发到远程计算机(通过 Syslog),选择在上一步中创建的配置。
  3. 点击保存

在 Trend Micro Cloud One 中导出安全事件

  1. 前往政策
  2. 点击计算机使用的政策。
  3. 依次前往设置 > 事件转发
  4. 事件转发频率(来自代理/设备):选择发送事件之间的间隔时间,然后选择安全事件的转发频率。
  5. 事件转发配置(来自代理/设备):选择反恶意软件 Syslog 配置,然后选择在上一步中创建的配置。
  6. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
法案 security_result.action 如果 act 为“deny”或“block”(不区分大小写),则为 BLOCK。如果 act 为“pass”或“allow”(不区分大小写),则为 ALLOW。如果 act 为“更新”或“重命名”(不区分大小写),则为 ALLOW_WITH_MODIFICATION。如果 act 为“quarantine”(不区分大小写),则 QUARANTINE。否则,UNKNOWN_ACTION
法案 security_result.action_details 直接映射。
security_result.category_details 直接映射。
cn1 target.asset_id 如果 cn1Label 为“Host ID”,则前缀为“Host Id:”。
降序 metadata.description 直接映射。
dvchost target.asset.hostname 直接映射。
dvchost target.hostname 直接映射。
log_type metadata.product_name 直接映射。
msg security_result.description 直接映射。
名称 security_result.summary 直接映射。
组织 target.administrative_domain 直接映射。
proto additional.fields.key 如果 proto 字段无法转换为整数,请将其设置为“协议”。
proto additional.fields.value.string_value 如果 proto 字段无法转换为整数,则直接映射。
proto network.ip_protocol 使用 parse_ip_protocol.include 逻辑进行映射,该逻辑会将协议编号转换为相应的名称(例如“6”变为“TCP”)。
product_version metadata.product_version 直接映射。
sev security_result.severity 如果 sev 为“0”“1”“2”“3”或“低”(不区分大小写),则为 LOW。如果 sev 为“4”“5”“6”或“中等”(不区分大小写),则为 MEDIUM。如果 sev 为“7”“8”或“high”(不区分大小写),则为 HIGH。如果 sev 为“9”“10”或“非常高”(不区分大小写),则为 CRITICAL
sev security_result.severity_details 直接映射。
src principal.asset.hostname 如果不是有效的 IP 地址,则直接映射。
src principal.asset.ip 如果是有效的 IP 地址,则直接映射。
src principal.hostname 如果不是有效的 IP 地址,则直接映射。
src principal.ip 如果是有效的 IP 地址,则直接映射。
TrendMicroDsTenant security_result.detection_fields.key 设置为“TrendMicroDsTenant”。
TrendMicroDsTenant security_result.detection_fields.value 直接映射。
TrendMicroDsTenantId security_result.detection_fields.key 设置为“TrendMicroDsTenantId”。
TrendMicroDsTenantId security_result.detection_fields.value 直接映射。
usrName principal.user.userid 直接映射。如果 has_principal 为 true 且 has_target 为 true,则 NETWORK_CONNECTION。否则,如果 has_principal 为 true,则为 STATUS_UPDATE。否则,如果 has_target 为 true 且 has_principal 为 false,则为 USER_UNCATEGORIZED。否则,GENERIC_EVENT。如果 event_typeUSER_UNCATEGORIZED,则设置为 AUTHTYPE_UNSPECIFIED。如果提取了主 IP 地址、主机名或 MAC 地址,请将此属性设为“true”。否则,初始化为“false”。如果提取了目标 IP、主机名或 MAC 地址,请将此属性设为“true”。否则,初始化为“false”。与顶级事件时间戳相同。设置为“Trend Micro”。

更改

2024-04-29

  • 新创建的解析器。