Recopila registros de Trend Micro Deep Security

En este documento, se describe cómo puedes recopilar los registros de Trend Micro Deep Security con Google Security Operations. Este analizador convierte los registros, que pueden estar en formato LEEF+CEF o CEF, en un modelo de datos unificado (UDM). Extrae campos de los mensajes de registro con patrones de grok y pares clave-valor, y luego los asigna a los campos de la UDM correspondientes, lo que permite realizar varias tareas de limpieza y normalización de datos.

Antes de comenzar

• Asegúrate de tener una instancia de Google SecOps.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso con privilegios a la consola de TrendMicro Deep Security.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Reemplaza <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• En Linux, para reiniciar el agente de Bindplane, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• En Windows, para reiniciar el agente de Bindplane, puedes usar la consola Services o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Cómo configurar Syslog en TrendMicro Deep Security

1. Accede a la consola de Deep Security de TrenMicro.
2. Ve a Políticas > Objetos comunes > Otros > Parámetros de configuración de Syslog.
3. Haz clic en Nueva > Nueva configuración.
4. Proporciona los siguientes detalles para la configuración:
   • Nombre: Es un nombre único que identifica la configuración (por ejemplo, Google SecOps Bindplane).
   • Opcional: Descripción: Agrega una descripción.
   • Identificador de fuente de registro: Especifica un identificador para usar en lugar del nombre de host de Deep Security Manager, si lo deseas.
   • Nombre del servidor: Ingresa el nombre de host o la dirección IP del servidor Syslog (Bindplane).
   • Puerto del servidor: Especifica el número de puerto de escucha en el servidor (Bindplane).
   • Transporte: Selecciona UDP como el protocolo de transporte.
   • Formato de evento: Selecciona LEEF o CEF (el formato LEEF requiere que configures Los agentes deben reenviar registros a A través del Administrador de Deep Security).
   • Opcional: Incluir zona horaria en los eventos: Indica si deseas agregar la fecha completa (incluidos el año y la zona horaria) al evento.
   • Opcional: Los agentes deben reenviar registros: Selecciona A través del Administrador de Deep Security si los registros tienen el formato LEEF.
5. Haz clic en Apply para finalizar la configuración.

Configura el reenvío de eventos de seguridad

1. Ve a Políticas y selecciona la política aplicada a las computadoras que deseas configurar.
2. Haz clic en Detalles.
3. En la ventana Editor de directivas, haz clic en Configuración > Reenvío de eventos.
4. En la sección Período entre el envío de eventos, establece el valor del período en un período de tiempo entre 10 y 60 segundos.
   • El valor predeterminado es de 60 segundos y el recomendado es de 10 segundos.
5. Para cada uno de estos módulos de protección, haz lo siguiente:
   • Configuración de Syslog contra software malicioso
   • Configuración de Syslog de la reputación web
   • Firewall
   • Configuración de Syslog de prevención de intrusiones
   • Inspección de registros y configuración de Syslog de supervisión de integridad
6. Selecciona la configuración de Syslog que deseas usar en el menú contextual:
   • Nombre de configuración de Syslog: Selecciona la configuración adecuada.
7. Haz clic en Guardar para aplicar la configuración.

Cómo configurar el reenvío de eventos del sistema

1. Ve a Administración > Configuración del sistema > Reenvío de eventos.
2. En Reenvía eventos del sistema a una computadora remota (a través de Syslog) con la configuración, selecciona la configuración existente que creaste antes.
3. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
actuar	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	Se convirtió en una cadena.
gato	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Se usa como nombre de host si dvchost está vacío.
cn1	read_only_udm.target.asset_id	Debe tener el prefijo “Host Id:”.
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Se convierte a minúsculas y se asigna a sha1 si cs2Label es "sha1"; de lo contrario, se asigna a detection_fields.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Se convierte a minúsculas y se asigna a md5 si cs3Label es "md5", de lo contrario, se asigna a detection_fields.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	Se convirtió en una cadena.
desc	read_only_udm.metadata.description
DST	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	Se convirtió en minúsculas.
dstPort	read_only_udm.target.port	Se convirtió en número entero.
ducha	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Se usa como product_event_type si event_name no está vacío; de lo contrario, se usa solo.
event_name	read_only_udm.metadata.product_event_type	Se usa con el prefijo "[event_id] - " y como product_event_type.
fileHash	read_only_udm.target.file.sha256	Se convirtió en minúsculas.
filePath	read_only_udm.target.file.full_path	Se reemplazó “ProgramFiles\(x86\)” por “Program Files (x86)”.
fsize	read_only_udm.target.file.size	Se convirtió en un número entero sin signo.
Nombre de host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Se usa como nombre de host si el destino está vacío.
en	read_only_udm.network.received_bytes	Se convirtió en un número entero sin signo.
msg	read_only_udm.security_result.description
nombre	read_only_udm.security_result.summary
organización	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
protocolo	read_only_udm.network.ip_protocol	Se reemplaza por “ICMP” si es “ICMPv6”.
product_version	read_only_udm.metadata.product_version
Resultado	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Se asigna a severity según su valor y también a severity_details.
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	Se convirtió en minúsculas.
srcPort	read_only_udm.principal.port	Se convirtió en número entero.
suid	read_only_udm.principal.user.userid
Suser	read_only_udm.principal.user.user_display_name
objetivo	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Se analizó en una marca de tiempo.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	Se convirtió en minúsculas.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	Se reemplazó “ProgramFiles\(x86\)” por “Program Files (x86)”.
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Establece el valor en "NETWORK_HTTP" si están presentes la fuente y el destino, de lo contrario, establece el valor en "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Se establece en "TRENDMICRO_DEEP_SECURITY".

Cambios

2024-04-17

• El analizador ahora asigna "event_name" del registro sin procesar al campo "metadata.product_event_type" en la UDM.
• El campo "act" ahora también se asigna a "security_result.action_details" en la UDM.

2024-03-29

• Se mejoró el manejo de los diferentes formatos de "cef_event_attributes".
• Se asignaron varios campos a nuevos campos de la AUA para mejorar la organización:
• "log_type" ahora es "metadata.product_name"
• "organization" ahora es "metadata.vendor_name"
• Los campos nuevos de los registros sin procesar (como "suer", "suid", "fileHash", etc.) ahora se asignan a la UDM. Se proporciona un vínculo a una hoja de asignación para obtener más detalles.

2024-03-23

• Se mejoró el análisis de los formatos "event_attributes" y "cef_event_attributes".
• El campo "name" ahora se asigna a "security_result.summary" en la UDM.

2024-03-04

• Se agregó compatibilidad para analizar registros en formato CEF.
• Se asignaron varios campos de los registros sin procesar a los campos de la AUA correspondientes, incluidos los siguientes:
• De "TrendMicroDsFileSHA1" a "target.file.sha1"
• "msg" a "security_result.description"
• "result" a "security_result.summary"
• De "filePath" a "target.file.full_path"
• Varios campos relacionados con las detecciones de TrendMicro ahora se asignan a "security_result.detection_fields".
• Se mejoró la lógica para asignar el campo "target.hostname" según la disponibilidad de "dvchost" o "cef_host".

2024-02-13

• El campo "target" ahora se asigna a "target.hostname" en la UDM.
• El campo "usrName" ahora se asigna a "principal.user.userid" en la UDM.

2022-09-01

• Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.