Trend Micro Deep Security-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie die Trend Micro Deep Security-Logs mit Google Security Operations erfassen können. Dieser Parser wandelt die Protokolle, die entweder im LEEF+CEF- oder CEF-Format vorliegen können, in ein einheitliches Datenmodell (UDM) um. Es extrahiert Felder aus den Protokollmeldungen mithilfe von Grok-Mustern und Schlüssel/Wert-Paaren und ordnet sie dann den entsprechenden UDM-Feldern zu. Dabei werden verschiedene Aufgaben zur Datenbereinigung und ‑normalisierung ausgeführt.

Hinweise

• Sie benötigen eine Google SecOps-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen Berechtigungen für die TrendMicro Deep Security-Konsole.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei für die Datenaufnahmeauthentifizierung herunter. Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

1. Rufen Sie die Konfigurationsdatei auf:

   • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   • Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen anzuwenden

• Führen Sie unter Linux den folgenden Befehl aus, um den Bindplane-Agent neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Unter Windows können Sie den Bindplane-Agenten entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Syslog in TrendMicro Deep Security konfigurieren

1. Melden Sie sich in der TrenMicro Deep Security Console an.
2. Gehen Sie zu Richtlinien > Gemeinsame Objekte > Sonstiges > Syslog-Konfigurationen.
3. Klicken Sie auf Neu > Neue Konfiguration.
4. Geben Sie die folgenden Details für die Konfiguration an:
   • Name: Eindeutiger Name, der die Konfiguration identifiziert (z. B. Google SecOps Bindplane)
   • Optional: Beschreibung: Fügen Sie eine Beschreibung hinzu.
   • Log-Quell-ID: Geben Sie eine ID an, die anstelle des Hostnamens von Deep Security Manager verwendet werden soll.
   • Servername: Geben Sie den Hostnamen oder die IP-Adresse des Syslog-Servers (Bindebene) ein.
   • Server Port: Geben Sie die Portnummer an, die auf dem Server (Bindebene) überwacht wird.
   • Transport: Wählen Sie UDP als Transportprotokoll aus.
   • Ereignisformat: Wählen Sie LEEF oder CEF aus. Für das LEEF-Format müssen Sie Agents should forward logs (Agents should forward logs) auf Via the Deep Security Manager (Über den Deep Security Manager) festlegen.
   • Optional: Zeitzone in Ereignissen einbeziehen: Gibt an, ob dem Ereignis das vollständige Datum (einschließlich Jahr und Zeitzone) hinzugefügt werden soll.
   • Optional: Agents should forward logs (Agents sollen Protokolle weiterleiten): Wählen Sie Via the Deep Security Manager (Über den Deep Security Manager) aus, wenn Protokolle mit LEEF formatiert sind.
5. Klicken Sie auf Übernehmen, um die Einstellungen abzuschließen.

Weiterleitung von Sicherheitsereignissen konfigurieren

1. Gehen Sie zu Richtlinien und wählen Sie die Richtlinie aus, die auf die zu konfigurierenden Computer angewendet wird.
2. Klicken Sie auf Details.
3. Klicken Sie im Fenster Richtlinieneditor auf Einstellungen > Ereignisweiterleitung.
4. Legen Sie im Bereich Zeitraum zwischen dem Senden von Ereignissen einen Zeitraum zwischen 10 und 60 Sekunden fest.
   • Der Standardwert beträgt 60 Sekunden und der empfohlene Wert 10 Sekunden.
5. Für jedes dieser Schutzmodule gilt:
   • Syslog-Konfiguration für Anti-Malware
   • Syslog-Konfiguration für den Web-Ruf
   • Firewall
   • Syslog-Konfiguration für die Einbruchsprävention
   • Syslog-Konfiguration für die Logprüfung und das Integritätsmonitoring
6. Wählen Sie im Kontextmenü die zu verwendende syslog-Konfiguration aus:
   • Syslog Configuration Name (Syslog-Konfigurationsname): Wählen Sie die entsprechende Konfiguration aus.
7. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

Weiterleitung von Systemereignissen konfigurieren

1. Gehen Sie zu Verwaltung > Systemeinstellungen > Ereignisweiterleitung.
2. Wählen Sie unter Systemereignisse mithilfe der Konfiguration an einen Remotecomputer (über Syslog) weiterleiten die vorher erstellte vorhandene Konfiguration aus.
3. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
handeln	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	In String umgewandelt.
Katze	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Wird als Hostname verwendet, wenn „dvchost“ leer ist.
cn1	read_only_udm.target.asset_id	Hat das Präfix „Host-ID:“.
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Wird in Kleinbuchstaben umgewandelt und sha1 zugeordnet, wenn „cs2Label“ „sha1“ ist, andernfalls wird es den „detection_fields“ zugeordnet.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Wird in Kleinbuchstaben umgewandelt und md5 zugeordnet, wenn „cs3Label“ „md5“ ist, andernfalls „detection_fields“.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	In String umgewandelt.
Ab	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	In Kleinbuchstaben umgewandelt.
dstPort	read_only_udm.target.port	In eine Ganzzahl umgewandelt.
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Wird als „product_event_type“ verwendet, wenn „event_name“ nicht leer ist, andernfalls allein.
event_name	read_only_udm.metadata.product_event_type	Hat das Präfix „[event_id] - “ und wird als „product_event_type“ verwendet.
fileHash	read_only_udm.target.file.sha256	In Kleinbuchstaben umgewandelt.
filePath	read_only_udm.target.file.full_path	„Programmdateien\(x86\)“ wurde durch „Programmdateien (x86)“ ersetzt.
fsize	read_only_udm.target.file.size	In eine vorzeichenlose Ganzzahl konvertiert.
Hostname	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Wird als Hostname verwendet, wenn „target“ leer ist.
in	read_only_udm.network.received_bytes	In eine vorzeichenlose Ganzzahl konvertiert.
msg	read_only_udm.security_result.description
Name	read_only_udm.security_result.summary
Organisation	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
Proto	read_only_udm.network.ip_protocol	Wird durch „ICMP“ ersetzt, wenn es „ICMPv6“ ist.
product_version	read_only_udm.metadata.product_version
Ergebnis	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Wird basierend auf seinem Wert dem Schweregrad zugeordnet, wird auch zu „severity_details“ zugeordnet.
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	In Kleinbuchstaben umgewandelt.
srcPort	read_only_udm.principal.port	In eine Ganzzahl umgewandelt.
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
Ziel	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	In einen Zeitstempel geparst.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	In Kleinbuchstaben umgewandelt.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	„Programmdateien\(x86\)“ wurde durch „Programmdateien (x86)“ ersetzt.
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Legen Sie „NETWORK_HTTP“ fest, wenn sowohl Quelle als auch Ziel vorhanden sind, andernfalls „GENERIC_EVENT“.
	read_only_udm.metadata.log_type	Legen Sie diesen Wert auf „TRENDMICRO_DEEP_SECURITY“ fest.

Änderungen

2024-04-17

• Der Parser ordnet „event_name“ aus dem Rohprotokoll jetzt dem Feld „metadata.product_event_type“ in der UDM zu.
• Das Feld „act“ wird jetzt zusätzlich in der UDM zu „security_result.action_details“ zugeordnet.

2024-03-29

• Verbesserte Handhabung verschiedener „cef_event_attributes“-Formate.
• Mehrere Felder wurden für eine bessere Organisation neuen UDM-Feldern zugeordnet:
• „log_type“ ist jetzt „metadata.product_name“
• „organization“ ist jetzt „metadata.vendor_name“
• Neue Felder aus den Rohlogs (z. B. „suer“, „suid“, „fileHash“) werden jetzt dem UDM zugeordnet. Weitere Informationen finden Sie in der Tabelle mit den Zuordnungen.

2024-03-23

• Verbessertes Parsen für die Formate „event_attributes“ und „cef_event_attributes“.
• Das Feld „name“ wird jetzt in der UDM mit „security_result.summary“ abgeglichen.

2024-03-04

• Unterstützung für das Parsen von CEF-Format-Protokollen hinzugefügt.
• Mehrere Felder aus den Rohlogs wurden den entsprechenden UDM-Feldern zugeordnet, darunter:
• „TrendMicroDsFileSHA1“ zu „target.file.sha1“
• „msg“ zu „security_result.description“
• „result“ zu „security_result.summary“
• „filePath“ zu „target.file.full_path“
• Mehrere Felder im Zusammenhang mit TrendMicro-Erkennungen werden jetzt „security_result.detection_fields“ zugeordnet.
• Die Logik für die Zuordnung des Felds „target.hostname“ wurde verbessert und basiert jetzt auf der Verfügbarkeit von „dvchost“ oder „cef_host“.

2024-02-13

• Das Feld „target“ wird jetzt in der UDM „target.hostname“ zugeordnet.
• Das Feld „usrName“ wird jetzt in der UDM „principal.user.userid“ zugeordnet.

2022-09-01

• Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten