Raccogliere i log di Trend Micro Deep Security

Questo documento descrive come raccogliere i log di Trend Micro Deep Security utilizzando Google Security Operations. Questo analizza i log, che possono essere in formato LEEF+CEF o CEF, in un modello di dati unificato (UDM). Estrae i campi dai messaggi di log utilizzando pattern grok e coppie chiave-valore, quindi li mappa ai campi UDM corrispondenti, gestendo varie attività di pulizia e normalizzazione dei dati.

Prima di iniziare

• Assicurati di avere un'istanza Google SecOps.
• Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
• Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso privilegiato alla console TrendMicro Deep Security.

Recupera il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane Agent.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse di installazione aggiuntive

• Per altre opzioni di installazione, consulta questa guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia Bindplane Agent per applicare le modifiche

• In Linux, per riavviare Bindplane Agent, esegui il seguente comando:

  sudo systemctl restart bindplane-agent
  

• In Windows, per riavviare l'agente Bindplane, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare Syslog in TrendMicro Deep Security

1. Accedi alla console TrenMicro Deep Security.
2. Vai a Criteri > Oggetti comuni > Altro > Configurazioni Syslog.
3. Fai clic su Nuovo > Nuova configurazione.
4. Fornisci i seguenti dettagli per la configurazione:
   • Nome: nome univoco che identifica la configurazione (ad esempio Google SecOps Bindplane)
   • (Facoltativo) Descrizione: aggiungi una descrizione.
   • Identificatore dell'origine log: se vuoi, specifica un identificatore da utilizzare al posto del nome host di Deep Security Manager.
   • Nome del server: inserisci il nome host o l'indirizzo IP del server Syslog (Bindplane).
   • Porta server: specifica il numero di porta di ascolto sul server (Bindplane).
   • Trasporto: seleziona UDP come protocollo di trasporto.
   • Formato evento: seleziona LEEF o CEF (il formato LEEF richiede di impostare Gli agenti devono inoltrare i log su Tramite Deep Security Manager).
   • (Facoltativo) Includi fuso orario negli eventi: indica se aggiungere all'evento la data completa (inclusi anno e fuso orario).
   • (Facoltativo) Gli agenti devono inoltrare i log: seleziona Tramite Deep Security Manager se i log sono formattati con LEEF.
5. Fai clic su Applica per finalizzare le impostazioni.

Configura il forwarding degli eventi di sicurezza

1. Vai a Criteri e seleziona il criterio applicato ai computer che vuoi configurare.
2. Fai clic su Dettagli.
3. Nella finestra dell'editor dei criteri, fai clic su Impostazioni > Inoltro eventi.
4. Nella sezione Periodo tra l'invio di eventi, imposta il valore del periodo su un periodo di tempo compreso tra 10 e 60 secondi.
   • Il valore predefinito è 60 secondi, mentre il valore consigliato è 10 secondi.
5. Per ciascuno di questi moduli di protezione:
   • Configurazione di Syslog per Anti-Malware
   • Configurazione syslog per la reputazione web
   • Firewall
   • Configurazione di Syslog per la prevenzione delle intrusioni
   • Configurazione di Syslog per l'ispezione dei log e il monitoraggio dell'integrità
6. Seleziona la configurazione syslog da utilizzare dal menu contestuale:
   • Nome configurazione Syslog: seleziona la configurazione appropriata.
7. Fai clic su Salva per applicare le impostazioni.

Configura il forwarding degli eventi di sistema

1. Vai a Amministrazione > Impostazioni di sistema > Inoltro eventi.
2. In Inoltra gli eventi di sistema a un computer remoto (tramite Syslog) utilizzando la configurazione, seleziona la configurazione esistente creata in precedenza.
3. Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
agire	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	Convertito in stringa.
gatto	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Utilizzato come nome host se dvchost è vuoto.
cn1	read_only_udm.target.asset_id	Deve essere preceduto dal prefisso "ID host:".
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Convertito in minuscolo e mappato a sha1 se cs2Label è "sha1", altrimenti mappato a detection_fields.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Convertito in minuscolo e mappato a md5 se cs3Label è "md5", altrimenti mappato a detection_fields.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	Convertito in stringa.
decr	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	Convertito in minuscolo.
dstPort	read_only_udm.target.port	Convertito in numero intero.
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Utilizzato come product_event_type se event_name non è vuoto, altrimenti utilizzato da solo.
event_name	read_only_udm.metadata.product_event_type	Con prefisso "[event_id] - " e utilizzato come product_event_type.
fileHash	read_only_udm.target.file.sha256	Convertito in minuscolo.
filePath	read_only_udm.target.file.full_path	"File\(x86\)di programma" sostituita con "File di programma (x86)".
fsize	read_only_udm.target.file.size	Convertito in numero intero senza segno.
nome host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Utilizzato come nome host se il target è vuoto.
in	read_only_udm.network.received_bytes	Convertito in numero intero senza segno.
msg	read_only_udm.security_result.description
nome	read_only_udm.security_result.summary
organizzazione	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	Sostituito con "ICMP" se è "ICMPv6".
product_version	read_only_udm.metadata.product_version
risultato	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Mappato alla gravità in base al valore, mappato anche a severity_details.
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	Convertito in minuscolo.
srcPort	read_only_udm.principal.port	Convertito in numero intero.
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
target	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Analizzati in base al timestamp.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	Convertito in minuscolo.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	"File\(x86\)di programma" sostituita con "File di programma (x86)".
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Imposta su "NETWORK_HTTP" se sono presenti sia l'origine che la destinazione, altrimenti imposta su "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Impostato su "TRENDMICRO_DEEP_SECURITY".

Modifiche

2024-04-17

• Ora il parser mappa "event_name" dal log non elaborato al campo "metadata.product_event_type" nell'UDM.
• Il campo "act" è ora mappato anche a "security_result.action_details" nell'UDM.

2024-03-29

• Gestione migliorata dei diversi formati di "cef_event_attributes".
• Per una migliore organizzazione, diversi campi sono stati mappati ai nuovi campi UDM:
• "log_type" ora è "metadata.product_name"
• "organization" ora è "metadata.vendor_name"
• I nuovi campi dei log non elaborati (come "suer", "suid", "fileHash" e così via) sono ora mappati all'UDM. Per maggiori dettagli, è disponibile un link a un foglio di mappatura.

2024-03-23

• Analisi migliorata per i formati "event_attributes" e "cef_event_attributes".
• Il campo "name" ora è mappato a "security_result.summary" nell'UDM.

2024-03-04

• È stato aggiunto il supporto per l'analisi dei log nel formato CEF.
• Sono stati mappati diversi campi dai log non elaborati ai campi UDM corrispondenti, tra cui:
• "TrendMicroDsFileSHA1" a "target.file.sha1"
• "msg" a "security_result.description"
• "result" a "security_result.summary"
• "filePath" a "target.file.full_path"
• Diversi campi relativi ai rilevamenti di TrendMicro sono ora mappati a "security_result.detection_fields".
• Logica migliorata per la mappatura del campo "target.hostname" in base alla disponibilità di "dvchost" o "cef_host".

2024-02-13

• Il campo "target" ora è mappato a "target.hostname" nell'UDM.
• Il campo "usrName" è ora mappato a "principal.user.userid" nell'UDM.

2022-09-01

• Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.