Collecter les journaux Trend Micro Deep Security

Ce document explique comment collecter les journaux Trend Micro Deep Security à l'aide de Google Security Operations. Il analyse les journaux, qui peuvent être au format LEEF+CEF ou CEF, dans un modèle de données unifié (UDM). Il extrait des champs des messages de journal à l'aide de modèles Grok et de paires clé-valeur, puis les met en correspondance avec les champs UDM correspondants, en assurant diverses tâches de nettoyage et de normalisation des données.

Avant de commencer

• Assurez-vous de disposer d'une instance Google SecOps.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous d'avoir un accès privilégié à la console TrendMicro Deep Security.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration:

   • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

• Sous Linux, pour redémarrer l'agent Bindplane, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Sous Windows, pour redémarrer l'agent Bindplane, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer Syslog dans TrendMicro Deep Security

1. Connectez-vous à la console TrenMicro Deep Security.
2. Accédez à Policies > Common Objects > Other > Syslog Configurations (Stratégies > Objets communs > Autre > Configurations Syslog).
3. Cliquez sur Nouveau > Nouvelle configuration.
4. Fournissez les informations suivantes pour la configuration :
   • Nom: nom unique qui identifie la configuration (par exemple, Google SecOps Bindplane)
   • Facultatif: Description: ajoutez une description.
   • Identifiant de la source des journaux: si vous le souhaitez, spécifiez un identifiant à utiliser à la place du nom d'hôte de Deep Security Manager.
   • Nom du serveur: saisissez le nom d'hôte ou l'adresse IP du serveur Syslog (Bindplane).
   • Port du serveur: spécifiez le numéro de port d'écoute sur le serveur (Bindplane).
   • Transport: sélectionnez UDP comme protocole de transport.
   • Format d'événement: sélectionnez LEEF ou CEF (le format LEEF nécessite de définir Les agents doivent transférer les journaux sur Via le gestionnaire Deep Security).
   • Facultatif: Inclure le fuseau horaire dans les événements: indique si vous souhaitez ajouter la date complète (y compris l'année et le fuseau horaire) à l'événement.
   • Facultatif: Les agents doivent transférer les journaux: sélectionnez Via le gestionnaire Deep Security si les journaux sont formatés avec LEEF.
5. Cliquez sur Appliquer pour finaliser les paramètres.

Configurer le transfert des événements de sécurité

1. Accédez à Rules (Règles), puis sélectionnez la règle appliquée aux ordinateurs que vous souhaitez configurer.
2. Cliquez sur Détails.
3. Dans la fenêtre Éditeur de règles, cliquez sur Paramètres > Transfert d'événements.
4. Dans la section Période entre l'envoi des événements, définissez la valeur de la période sur une période comprise entre 10 et 60 secondes.
   • La valeur par défaut est de 60 secondes, et la valeur recommandée est de 10 secondes.
5. Pour chacun de ces modules de protection :
   • Configuration Syslog de la protection contre les logiciels malveillants
   • Configuration Syslog de la réputation Web
   • Pare-feu
   • Configuration Syslog de la prévention des intrusions
   • Configuration de Syslog pour l'inspection des journaux et la surveillance de l'intégrité
6. Sélectionnez la configuration syslog à utiliser dans le menu contextuel :
   • Syslog Configuration Name (Nom de la configuration Syslog) : sélectionnez la configuration appropriée.
7. Cliquez sur Enregistrer pour appliquer les paramètres.

Configurer le transfert des événements système

1. Accédez à Administration > Paramètres système > Transfert d'événements.
2. Dans Transférer les événements système vers un ordinateur distant (via Syslog) à l'aide de la configuration, sélectionnez la configuration existante créée précédemment.
3. Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ du journal	Mappage UDM	Logique
agir	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	Converti en chaîne.
cat	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Utilisé comme nom d'hôte si dvchost est vide.
cn1	read_only_udm.target.asset_id	Préfixé par "ID de l'hôte:".
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Converti en minuscules et mappé sur sha1 si cs2Label est "sha1", sinon mappé sur detection_fields.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Converti en minuscules et mappé sur md5 si cs3Label est "md5", sinon mappé sur detection_fields.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	Converti en chaîne.
décroiss.	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	Converti en minuscules.
dstPort	read_only_udm.target.port	Converti en entier.
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Utilisé comme "product_event_type" si "event_name" n'est pas vide, sinon utilisé seul.
event_name	read_only_udm.metadata.product_event_type	Préfixé par "[event_id] - " et utilisé comme "product_event_type".
fileHash	read_only_udm.target.file.sha256	Converti en minuscules.
filePath	read_only_udm.target.file.full_path	"ProgramFiles\(x86\)" a été remplacé par "Program Files (x86)".
fsize	read_only_udm.target.file.size	Converti en entier sans signature.
nom d'hôte	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Utilisé comme nom d'hôte si la cible est vide.
dans	read_only_udm.network.received_bytes	Converti en entier sans signature.
Message	read_only_udm.security_result.description
nom	read_only_udm.security_result.summary
organisation	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	Remplacement par "ICMP" si la valeur est "ICMPv6".
product_version	read_only_udm.metadata.product_version
résultat	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Mappé sur la gravité en fonction de sa valeur, également mappé sur severity_details.
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	Converti en minuscules.
srcPort	read_only_udm.principal.port	Converti en entier.
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
cible	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Analysé en code temporel.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	Converti en minuscules.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	"ProgramFiles\(x86\)" a été remplacé par "Program Files (x86)".
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Définissez ce paramètre sur "NETWORK_HTTP" si la source et la destination sont présentes, sinon sur "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Définissez-le sur "TRENDMICRO_DEEP_SECURITY".

Modifications

2024-04-17

• L'analyseur mappe désormais "event_name" du journal brut au champ "metadata.product_event_type" dans l'UDM.
• Le champ "act" est désormais également mappé sur "security_result.action_details" dans la UDM.

2024-03-29

• Amélioration de la gestion des différents formats "cef_event_attributes".
• Plusieurs champs ont été mappés sur de nouveaux champs UDM pour une meilleure organisation:
• "log_type" est désormais "metadata.product_name"
• "organization" est désormais "metadata.vendor_name"
• De nouveaux champs des journaux bruts (comme "suer", "suid", "fileHash", etc.) sont désormais mappés sur l'UDM. Pour en savoir plus, consultez le lien vers une feuille de mappage.

2024-03-23

• Amélioration de l'analyse pour les formats "event_attributes" et "cef_event_attributes".
• Le champ "name" est désormais mappé sur "security_result.summary" dans l'UDM.

2024-03-04

• Ajout de la prise en charge de l'analyse des journaux au format CEF.
• Nous avons mappé plusieurs champs des journaux bruts sur les champs UDM correspondants, y compris:
• "TrendMicroDsFileSHA1" au lieu de "target.file.sha1"
• "msg" à "security_result.description"
• "result" à "security_result.summary"
• "filePath" au lieu de "target.file.full_path"
• Plusieurs champs liés aux détections TrendMicro sont désormais mappés sur "security_result.detection_fields".
• Amélioration de la logique de mise en correspondance du champ "target.hostname" en fonction de la disponibilité de "dvchost" ou "cef_host".

2024-02-13

• Le champ "target" est désormais mappé sur "target.hostname" dans l'UDM.
• Le champ "usrName" est désormais mappé à "principal.user.userid" dans UDM.

2022-09-01

• Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.