收集 Trend Micro Cloud One 日志
支持的平台:
Google SecOps
SIEM
概览
此解析器可处理来自 Trend Micro Cloud One 的 syslog 和 JSON 格式日志。它会从采用 LEEF 格式的邮件中提取键值对,对严重程度值进行标准化处理,识别主实体和目标实体(IP、主机名、用户),并将数据映射到 UDM 架构。如果未检测到 LEEF 格式,解析器会尝试将输入内容作为 JSON 进行处理,并相应地提取相关字段。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Trend Micro Cloud One 的超级用户访问权限。
- 确保您使用的是 Windows 2012 SP2 或更高版本,或者使用了 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
。 - 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
。 - 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 使用 BindPlane 访问该机器。
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
使用以下命令重启 BindPlane 代理以应用更改:
sudo systemctl bindplane restart
通过 Trend Micro Cloud One 配置 Syslog
- 依次前往政策 > 常见对象 > 其他 > Syslog 配置。
- 依次点击新建 > 新建配置 > 常规
- 为以下参数指定值:
- 名称:用于标识配置的唯一名称(例如 Google SecOps BindPlance 服务器)。
- 服务器名称:输入 BindPlane 代理的 IP 地址。
- 服务器端口:输入 BindPlane 代理的端口(例如 514)。
- 传输:选择 UDP。
- 事件格式:选择 Syslog。
- 在事件中包含时区:保持未选中状态。
- 设施:与事件相关联的流程类型。
- 代理应转发日志:选择 Syslog 服务器。
- 点击保存。
在 Trend Micro Cloud One 中导出系统事件
- 依次前往管理 > 系统设置 > 事件转发。
- 使用配置将系统事件转发到远程计算机(通过 Syslog),选择在上一步中创建的配置。
- 点击保存。
在 Trend Micro Cloud One 中导出安全事件
- 前往政策。
- 点击计算机使用的政策。
- 依次前往设置 > 事件转发。
- 事件转发频率(来自代理/设备):选择发送事件之间的间隔时间,然后选择安全事件的转发频率。
- 事件转发配置(来自代理/设备):选择反恶意软件 Syslog 配置,然后选择在上一步中创建的配置。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
法案 | security_result.action |
如果 act 为“deny”或“block”(不区分大小写),则为 BLOCK 。如果 act 为“pass”或“allow”(不区分大小写),则为 ALLOW 。如果 act 为“更新”或“重命名”(不区分大小写),则为 ALLOW_WITH_MODIFICATION 。如果 act 为“quarantine”(不区分大小写),则 QUARANTINE 。否则,UNKNOWN_ACTION 。 |
法案 | security_result.action_details |
直接映射。 |
猫 | security_result.category_details |
直接映射。 |
cn1 | target.asset_id |
如果 cn1Label 为“Host ID”,则前缀为“Host Id:”。 |
降序 | metadata.description |
直接映射。 |
dvchost | target.asset.hostname |
直接映射。 |
dvchost | target.hostname |
直接映射。 |
log_type | metadata.product_name |
直接映射。 |
msg | security_result.description |
直接映射。 |
名称 | security_result.summary |
直接映射。 |
组织 | target.administrative_domain |
直接映射。 |
proto | additional.fields.key |
如果 proto 字段无法转换为整数,请将其设置为“协议”。 |
proto | additional.fields.value.string_value |
如果 proto 字段无法转换为整数,则直接映射。 |
proto | network.ip_protocol |
使用 parse_ip_protocol.include 逻辑进行映射,该逻辑会将协议编号转换为相应的名称(例如“6”变为“TCP”)。 |
product_version | metadata.product_version |
直接映射。 |
sev | security_result.severity |
如果 sev 为“0”“1”“2”“3”或“低”(不区分大小写),则为 LOW 。如果 sev 为“4”“5”“6”或“中等”(不区分大小写),则为 MEDIUM 。如果 sev 为“7”“8”或“high”(不区分大小写),则为 HIGH 。如果 sev 为“9”“10”或“非常高”(不区分大小写),则为 CRITICAL 。 |
sev | security_result.severity_details |
直接映射。 |
src | principal.asset.hostname |
如果不是有效的 IP 地址,则直接映射。 |
src | principal.asset.ip |
如果是有效的 IP 地址,则直接映射。 |
src | principal.hostname |
如果不是有效的 IP 地址,则直接映射。 |
src | principal.ip |
如果是有效的 IP 地址,则直接映射。 |
TrendMicroDsTenant | security_result.detection_fields.key |
设置为“TrendMicroDsTenant”。 |
TrendMicroDsTenant | security_result.detection_fields.value |
直接映射。 |
TrendMicroDsTenantId | security_result.detection_fields.key |
设置为“TrendMicroDsTenantId”。 |
TrendMicroDsTenantId | security_result.detection_fields.value |
直接映射。 |
usrName | principal.user.userid |
直接映射。如果 has_principal 为 true 且 has_target 为 true,则 NETWORK_CONNECTION 。否则,如果 has_principal 为 true,则为 STATUS_UPDATE 。否则,如果 has_target 为 true 且 has_principal 为 false,则为 USER_UNCATEGORIZED 。否则,GENERIC_EVENT 。如果 event_type 为 USER_UNCATEGORIZED ,则设置为 AUTHTYPE_UNSPECIFIED 。如果提取了主 IP 地址、主机名或 MAC 地址,请将此属性设为“true”。否则,初始化为“false”。如果提取了目标 IP、主机名或 MAC 地址,请将此属性设为“true”。否则,初始化为“false”。与顶级事件时间戳相同。设置为“Trend Micro”。 |
更改
2024-04-29
- 新创建的解析器。