Mengumpulkan log Trend Micro Deep Security

Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Deep Security menggunakan Google Security Operations. Parser ini akan menguraikan log, yang dapat berupa format LEEF+CEF atau CEF, menjadi unified data model (UDM). Fungsi ini mengekstrak kolom dari pesan log menggunakan pola grok dan key-value pair, lalu memetakan kolom tersebut ke kolom UDM yang sesuai, serta menangani berbagai tugas pembersihan dan normalisasi data.

Sebelum memulai

• Pastikan Anda memiliki instance Google Chronicle.
• Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Jika berjalan di balik proxy, pastikan port firewall terbuka.
• Pastikan Anda memiliki akses dengan hak istimewa ke konsol TrendMicro Deep Security.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Agen Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi Penginstalan Tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

1. Akses file konfigurasi:

   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Agen Bindplane untuk menerapkan perubahan

• Di Linux, untuk memulai ulang Agen Bindplane, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Di Windows, untuk memulai ulang Agen Bindplane, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi Syslog di TrendMicro Deep Security

1. Login ke konsol TrenMicro Deep Security.
2. Buka Kebijakan > Objek Umum > Lainnya > Konfigurasi Syslog.
3. Klik Baru > Konfigurasi Baru.
4. Berikan detail berikut untuk konfigurasi:
   • Name: nama unik yang mengidentifikasi konfigurasi (misalnya, Google SecOps Bindplane)
   • Opsional: Deskripsi: tambahkan deskripsi.
   • ID Sumber Log: tentukan ID yang akan digunakan, bukan nama host Deep Security Manager, jika diinginkan.
   • Nama Server: masukkan nama host atau alamat IP server Syslog (Bindplane).
   • Server Port: menentukan nomor port pemrosesan di server (Bindplane).
   • Transport: pilih UDP sebagai protokol transpor.
   • Format Peristiwa: pilih LEEF atau CEF (format LEEF mengharuskan Anda menetapkan Agen harus meneruskan log ke Melalui Deep Security Manager).
   • Opsional: Sertakan zona waktu dalam acara: apakah akan menambahkan tanggal lengkap (termasuk tahun dan zona waktu) ke acara.
   • Opsional: Agen harus meneruskan log: pilih Melalui Deep Security Manager jika log diformat dengan LEEF.
5. Klik Apply untuk menyelesaikan setelan.

Mengonfigurasi penerusan Peristiwa Keamanan

1. Buka Kebijakan, lalu pilih kebijakan yang diterapkan ke komputer yang ingin Anda konfigurasi.
2. Klik Details.
3. Di jendela Policy editor, klik Settings > Event Forwarding.
4. Dari bagian Periode antara pengiriman peristiwa, tetapkan nilai periode ke jangka waktu antara 10 dan 60 detik.
   • Nilai default-nya adalah 60 detik, dan nilai yang direkomendasikan adalah 10 detik.
5. Untuk setiap modul perlindungan ini:
   • Konfigurasi Syslog Anti-Malware
   • Konfigurasi Syslog reputasi web
   • Firewall
   • Konfigurasi Syslog pencegahan penyusupan
   • Konfigurasi Syslog Pemantauan Integritas dan Pemeriksaan Log
6. Pilih konfigurasi syslog yang akan digunakan dari menu konteks:
   • Syslog Configuration Name: Pilih konfigurasi yang sesuai.
7. Klik Simpan untuk menerapkan setelan.

Mengonfigurasi penerusan Peristiwa Sistem

1. Buka Administrasi > Setelan Sistem > Penerusan Peristiwa.
2. Dari Teruskan Peristiwa Sistem ke komputer jarak jauh (melalui Syslog) menggunakan konfigurasi, pilih konfigurasi yang ada yang dibuat sebelumnya.
3. Klik Simpan.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
tindakan	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	Dikonversi ke string.
kucing	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Digunakan sebagai nama host jika dvchost kosong.
cn1	read_only_udm.target.asset_id	Diawali dengan "ID Host:".
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Dikonversi menjadi huruf kecil dan dipetakan ke sha1 jika cs2Label adalah "sha1", jika tidak, dipetakan ke detection_fields.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Dikonversi ke huruf kecil dan dipetakan ke md5 jika cs3Label adalah "md5", jika tidak, dipetakan ke detection_fields.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	Dikonversi ke string.
menurun	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	Dikonversi menjadi huruf kecil.
dstPort	read_only_udm.target.port	Dikonversi ke bilangan bulat.
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Digunakan sebagai product_event_type jika event_name tidak kosong, jika tidak, digunakan sendiri.
event_name	read_only_udm.metadata.product_event_type	Diawali dengan "[event_id] - " dan digunakan sebagai product_event_type.
fileHash	read_only_udm.target.file.sha256	Dikonversi menjadi huruf kecil.
filePath	read_only_udm.target.file.full_path	"ProgramFiles\(x86\)" diganti dengan "Program Files (x86)".
fsize	read_only_udm.target.file.size	Dikonversi menjadi bilangan bulat tanpa tanda tangan.
hostname	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Digunakan sebagai nama host jika target kosong.
in	read_only_udm.network.received_bytes	Dikonversi menjadi bilangan bulat tanpa tanda tangan.
msg	read_only_udm.security_result.description
nama	read_only_udm.security_result.summary
organisasi	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	Diganti dengan "ICMP" jika "ICMPv6".
product_version	read_only_udm.metadata.product_version
hasil	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Dipetakan ke tingkat keparahan berdasarkan nilainya, juga dipetakan ke severity_details.
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	Dikonversi menjadi huruf kecil.
srcPort	read_only_udm.principal.port	Dikonversi ke bilangan bulat.
suid	read_only_udm.principal.user.userid
pengguna	read_only_udm.principal.user.user_display_name
target	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Diurai menjadi stempel waktu.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	Dikonversi menjadi huruf kecil.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	"ProgramFiles\(x86\)" diganti dengan "Program Files (x86)".
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Tetapkan ke "NETWORK_HTTP" jika sumber dan tujuan ada, jika tidak, tetapkan ke "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Tetapkan ke "TRENDMICRO_DEEP_SECURITY".

Perubahan

2024-04-17

• Sekarang, parser memetakan "event_name" dari log mentah ke kolom "metadata.product_event_type" di UDM.
• Kolom "act" kini juga dipetakan ke "security_result.action_details" di UDM.

2024-03-29

• Peningkatan penanganan berbagai format "cef_event_attributes".
• Beberapa kolom dipetakan ke kolom UDM baru untuk pengaturan yang lebih baik:
• "log_type" kini menjadi "metadata.product_name"
• "organization" kini menjadi "metadata.vendor_name"
• Kolom baru dari log mentah (seperti "suer", "suid", "fileHash", dll.) kini dipetakan ke UDM. Link ke sheet pemetaan disediakan untuk mengetahui detailnya.

2024-03-23

• Penguraian yang ditingkatkan untuk format "event_attributes" dan "cef_event_attributes".
• Kolom "name" kini dipetakan ke "security_result.summary" di UDM.

2024-03-04

• Menambahkan dukungan untuk mengurai log format CEF.
• Memetakan beberapa kolom dari log mentah ke kolom UDM yang sesuai, termasuk:
• "TrendMicroDsFileSHA1" menjadi "target.file.sha1"
• "msg" menjadi "security_result.description"
• "result" menjadi "security_result.summary"
• "filePath" menjadi "target.file.full_path"
• Beberapa kolom yang terkait dengan deteksi TrendMicro kini dipetakan ke "security_result.detection_fields".
• Logika yang ditingkatkan untuk memetakan kolom "target.hostname" berdasarkan ketersediaan "dvchost" atau "cef_host".

2024-02-13

• Kolom "target" kini dipetakan ke "target.hostname" di UDM.
• Kolom "usrName" kini dipetakan ke "principal.user.userid" di UDM.

2022-09-01

• Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.