Trend Micro Deep Security のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations を使用して Trend Micro Deep Security のログを収集する方法について説明します。このパーサーは、LEEF+CEF 形式または CEF 形式のログを統合データモデル(UDM)に変換します。Grok パターンと Key-Value ペアを使用してログ メッセージからフィールドを抽出し、対応する UDM フィールドにマッピングします。この処理中に、さまざまなデータのクリーニングと正規化タスクも処理されます。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • TrendMicro Deep Security コンソールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux へのインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

  1. 構成ファイルにアクセスします。

    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: trendmicro_deep_security
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. インフラストラクチャの要件に応じてポートと IP アドレスを置き換えます。

  4. <customer_id> は実際のお客様 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

BindPlane Agent を再起動して変更を適用する

  • Linux で BindPlane Agent を再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent
    
  • Windows で BindPlane Agent を再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent
    

TrendMicro Deep Security で Syslog を構成する

  1. TrenMicro Deep Security コンソールにログインします。
  2. [Policies] > [Common Objects] > [Other] > [Syslog Configurations] に移動します。
  3. [New] > [New Configuration] をクリックします。
  4. 構成の詳細を入力します。
    • Name: 構成を識別する一意の名前(Google SecOps Bindplane など)
    • 省略可: Description: 説明を追加します。
    • Log Source Identifier: Deep Security Manager のホスト名の代わりに使用する ID を指定します(必要に応じて)。
    • Server Name: Syslog サーバー(Bindplane)のホスト名または IP アドレスを入力します。
    • Server Port: サーバーのリッスン ポート番号(Bindplane)を指定します。
    • Transport: トランスポート プロトコルとして [UDP] を選択します。
    • Event Format: [LEEF] または [CEF] を選択します(LEEF 形式では、[Agents should forward logs] を [Via the Deep Security Manager] に設定する必要があります)。
    • 省略可: Include time zone in events: 日付全体(年とタイムゾーンを含む)をイベントに追加するかどうか。
    • 省略可: Agents should forward logs: ログが LEEF 形式である場合は、[Via the Deep Security Manager] を選択します。
  5. [適用] をクリックして設定を確定します。

セキュリティ イベントの転送を構成する

  1. [Policies] に移動し、構成するパソコンに適用するポリシーを選択します。
  2. [詳細] をクリックします。
  3. [Policy editor] ウィンドウで、[Settings] > [Event Forwarding] をクリックします。
  4. [Period between sending of events] セクションで、期間の値を 10~60 秒の範囲で設定します。
    • デフォルト値は 60 秒、推奨値は 10 秒です。
  5. これらの保護モジュールごとに、次の操作を行います。
    • マルウェア対策 Syslog の構成
    • ウェブ レピュテーションの Syslog 構成
    • ファイアウォール
    • 侵入防止の Syslog 構成
    • ログ検査と整合性モニタリングの Syslog 構成
  6. コンテキスト メニューから使用する syslog 構成を選択します。
    • Syslog Configuration Name: 適切な構成を選択します。
  7. [Save] をクリックして設定を適用します。

システム イベント転送を構成する

  1. [Administration] > [System Settings] > [Event Forwarding] に移動します。
  2. [Forward System Events to a remote computer (via Syslog) using configuration] で、前に作成した既存の構成を選択します。
  3. [Save] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
act read_only_udm.security_result.action_details
aggregationType read_only_udm.additional.fields.value.string_value 文字列に変換されます。
cat read_only_udm.security_result.category_details
cef_host read_only_udm.target.hostname
read_only_udm.target.asset.hostname
dvchost が空の場合にホスト名として使用されます。
cn1 read_only_udm.target.asset_id 「Host Id:」が接頭辞として付いています。
cs1 read_only_udm.security_result.detection_fields.value
cs1Label read_only_udm.security_result.detection_fields.key
cs2 read_only_udm.target.file.sha1
read_only_udm.security_result.detection_fields.value
小文字に変換され、cs2Label が「sha1」の場合は sha1 にマッピングされ、それ以外の場合は detection_fields にマッピングされます。
cs2Label read_only_udm.security_result.detection_fields.key
cs3 read_only_udm.target.file.md5
read_only_udm.security_result.detection_fields.value
小文字に変換され、cs3Label が「md5」の場合は md5 に、それ以外の場合は detection_fields にマッピングされます。
cs3Label read_only_udm.security_result.detection_fields.key
cs5 read_only_udm.security_result.detection_fields.value
cs5Label read_only_udm.security_result.detection_fields.key
cs6 read_only_udm.security_result.detection_fields.value
cs6Label read_only_udm.security_result.detection_fields.key
cs7 read_only_udm.security_result.detection_fields.value
cs7Label read_only_udm.security_result.detection_fields.key
cnt read_only_udm.additional.fields.value.string_value 文字列に変換されます。
desc read_only_udm.metadata.description
dst read_only_udm.target.ip
read_only_udm.target.asset.ip
dstMAC read_only_udm.target.mac 小文字に変換されます。
dstPort read_only_udm.target.port 整数に変換されます。
duser read_only_udm.target.user.user_display_name
dvc read_only_udm.about.ip
dvchost read_only_udm.target.hostname
read_only_udm.target.asset.hostname
event_id read_only_udm.metadata.product_event_type event_name が空でない場合、product_event_type として使用されます。それ以外の場合は単独で使用されます。
event_name read_only_udm.metadata.product_event_type "[event_id] - " が接頭辞として付加され、product_event_type として使用されます。
fileHash read_only_udm.target.file.sha256 小文字に変換されます。
filePath read_only_udm.target.file.full_path 「ProgramFiles\(x86\)」を「Program Files(x86)」に置き換えました。
fsize read_only_udm.target.file.size 符号なし整数に変換されます。
ホスト名 read_only_udm.target.hostname
read_only_udm.target.asset.hostname
ターゲットが空の場合はホスト名として使用されます。
in read_only_udm.network.received_bytes 符号なし整数に変換されます。
msg read_only_udm.security_result.description
name read_only_udm.security_result.summary
組織 read_only_udm.target.administrative_domain
read_only_udm.metadata.vendor_name
proto read_only_udm.network.ip_protocol 「ICMPv6」の場合は「ICMP」に置き換えられます。
product_version read_only_udm.metadata.product_version
結果 read_only_udm.security_result.summary
sev read_only_udm.security_result.severity
read_only_udm.security_result.severity_details
値に基づいて severity にマッピングされ、severity_details にもマッピングされます。
shost read_only_udm.principal.hostname
read_only_udm.principal.asset.hostname
src read_only_udm.principal.ip
read_only_udm.principal.asset.ip
srcMAC read_only_udm.principal.mac 小文字に変換されます。
srcPort read_only_udm.principal.port 整数に変換されます。
suid read_only_udm.principal.user.userid
suser read_only_udm.principal.user.user_display_name
ターゲット read_only_udm.target.hostname
read_only_udm.target.asset.hostname
timestamp read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_timestamp.nanos
タイムスタンプとして解析されます。
TrendMicroDsBehaviorType read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1 read_only_udm.target.file.sha1 小文字に変換されます。
TrendMicroDsFrameType read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess read_only_udm.security_result.detection_fields.value 「ProgramFiles\(x86\)」を「Program Files(x86)」に置き換えました。
TrendMicroDsTenant read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId read_only_udm.security_result.detection_fields.value
usrName read_only_udm.principal.user.userid
read_only_udm.metadata.event_type 送信元と宛先の両方が存在する場合は「NETWORK_HTTP」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。
read_only_udm.metadata.log_type 「TRENDMICRO_DEEP_SECURITY」に設定します。

変更

2024-04-17

  • これで、パーサーは未加工ログの「event_name」を UDM の「metadata.product_event_type」フィールドにマッピングします。
  • 「act」フィールドが UDM の「security_result.action_details」に追加でマッピングされるようになりました。

2024-03-29

  • さまざまな「cef_event_attributes」形式の処理を改善しました。
  • より適切に整理するために、いくつかのフィールドが新しい UDM フィールドにマッピングされました。
  • 「log_type」が「metadata.product_name」に変更されました
  • 「organization」が「metadata.vendor_name」に変更されました
  • 未加工ログの新しいフィールド(「suer」、「suid」、「fileHash」など)が UDM にマッピングされるようになりました。詳細については、マッピング シートへのリンクをご覧ください。

2024-03-23

  • 「event_attributes」と「cef_event_attributes」の両方の形式の解析を強化しました。
  • 「name」フィールドが UDM の「security_result.summary」にマッピングされるようになりました。

2024-03-04

  • CEF 形式のログを解析する機能が追加されました。
  • 次のようないくつかのフィールドを未加工ログから対応する UDM フィールドにマッピングしました。
  • 「TrendMicroDsFileSHA1」を「target.file.sha1」に
  • 「msg」を「security_result.description」に
  • 「result」を「security_result.summary」に
  • 「filePath」を「target.file.full_path」に
  • TrendMicro の検出に関連する複数のフィールドが「security_result.detection_fields」にマッピングされるようになりました。
  • 「dvchost」または「cef_host」の可用性に基づいて「target.hostname」フィールドをマッピングするロジックを改善しました。

2024-02-13

  • 「target」フィールドは、UDM の「target.hostname」にマッピングされるようになりました。
  • 「usrName」フィールドは、UDM の「principal.user.userid」にマッピングされるようになりました。

2022-09-01

  • 新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。