Trend Micro Deep Security のログを収集する
このドキュメントでは、Google Security Operations を使用して Trend Micro Deep Security のログを収集する方法について説明します。このパーサーは、LEEF+CEF 形式または CEF 形式のログを統合データモデル(UDM)に変換します。Grok パターンと Key-Value ペアを使用してログ メッセージからフィールドを抽出し、対応する UDM フィールドにマッピングします。この処理中に、さまざまなデータのクリーニングと正規化タスクも処理されます。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Windows 2016 以降、または
systemd
を使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- TrendMicro Deep Security コンソールへの特権アクセス権があることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。BindPlane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
Windows へのインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する
構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリ、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_deep_security raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
インフラストラクチャの要件に応じてポートと IP アドレスを置き換えます。
<customer_id>
は実際のお客様 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
BindPlane Agent を再起動して変更を適用する
Linux で BindPlane Agent を再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で BindPlane Agent を再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
TrendMicro Deep Security で Syslog を構成する
- TrenMicro Deep Security コンソールにログインします。
- [Policies] > [Common Objects] > [Other] > [Syslog Configurations] に移動します。
- [New] > [New Configuration] をクリックします。
- 構成の詳細を入力します。
- Name: 構成を識別する一意の名前(Google SecOps Bindplane など)
- 省略可: Description: 説明を追加します。
- Log Source Identifier: Deep Security Manager のホスト名の代わりに使用する ID を指定します(必要に応じて)。
- Server Name: Syslog サーバー(Bindplane)のホスト名または IP アドレスを入力します。
- Server Port: サーバーのリッスン ポート番号(Bindplane)を指定します。
- Transport: トランスポート プロトコルとして [UDP] を選択します。
- Event Format: [LEEF] または [CEF] を選択します(LEEF 形式では、[Agents should forward logs] を [Via the Deep Security Manager] に設定する必要があります)。
- 省略可: Include time zone in events: 日付全体(年とタイムゾーンを含む)をイベントに追加するかどうか。
- 省略可: Agents should forward logs: ログが LEEF 形式である場合は、[Via the Deep Security Manager] を選択します。
- [適用] をクリックして設定を確定します。
セキュリティ イベントの転送を構成する
- [Policies] に移動し、構成するパソコンに適用するポリシーを選択します。
- [詳細] をクリックします。
- [Policy editor] ウィンドウで、[Settings] > [Event Forwarding] をクリックします。
- [Period between sending of events] セクションで、期間の値を 10~60 秒の範囲で設定します。
- デフォルト値は 60 秒、推奨値は 10 秒です。
- これらの保護モジュールごとに、次の操作を行います。
- マルウェア対策 Syslog の構成
- ウェブ レピュテーションの Syslog 構成
- ファイアウォール
- 侵入防止の Syslog 構成
- ログ検査と整合性モニタリングの Syslog 構成
- コンテキスト メニューから使用する syslog 構成を選択します。
- Syslog Configuration Name: 適切な構成を選択します。
- [Save] をクリックして設定を適用します。
システム イベント転送を構成する
- [Administration] > [System Settings] > [Event Forwarding] に移動します。
- [Forward System Events to a remote computer (via Syslog) using configuration] で、前に作成した既存の構成を選択します。
- [Save] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | 論理 |
---|---|---|
act | read_only_udm.security_result.action_details | |
aggregationType | read_only_udm.additional.fields.value.string_value | 文字列に変換されます。 |
cat | read_only_udm.security_result.category_details | |
cef_host | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
dvchost が空の場合にホスト名として使用されます。 |
cn1 | read_only_udm.target.asset_id | 「Host Id:」が接頭辞として付いています。 |
cs1 | read_only_udm.security_result.detection_fields.value | |
cs1Label | read_only_udm.security_result.detection_fields.key | |
cs2 | read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value |
小文字に変換され、cs2Label が「sha1」の場合は sha1 にマッピングされ、それ以外の場合は detection_fields にマッピングされます。 |
cs2Label | read_only_udm.security_result.detection_fields.key | |
cs3 | read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value |
小文字に変換され、cs3Label が「md5」の場合は md5 に、それ以外の場合は detection_fields にマッピングされます。 |
cs3Label | read_only_udm.security_result.detection_fields.key | |
cs5 | read_only_udm.security_result.detection_fields.value | |
cs5Label | read_only_udm.security_result.detection_fields.key | |
cs6 | read_only_udm.security_result.detection_fields.value | |
cs6Label | read_only_udm.security_result.detection_fields.key | |
cs7 | read_only_udm.security_result.detection_fields.value | |
cs7Label | read_only_udm.security_result.detection_fields.key | |
cnt | read_only_udm.additional.fields.value.string_value | 文字列に変換されます。 |
desc | read_only_udm.metadata.description | |
dst | read_only_udm.target.ip read_only_udm.target.asset.ip |
|
dstMAC | read_only_udm.target.mac | 小文字に変換されます。 |
dstPort | read_only_udm.target.port | 整数に変換されます。 |
duser | read_only_udm.target.user.user_display_name | |
dvc | read_only_udm.about.ip | |
dvchost | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
event_id | read_only_udm.metadata.product_event_type | event_name が空でない場合、product_event_type として使用されます。それ以外の場合は単独で使用されます。 |
event_name | read_only_udm.metadata.product_event_type | "[event_id] - " が接頭辞として付加され、product_event_type として使用されます。 |
fileHash | read_only_udm.target.file.sha256 | 小文字に変換されます。 |
filePath | read_only_udm.target.file.full_path | 「ProgramFiles\(x86\)」を「Program Files(x86)」に置き換えました。 |
fsize | read_only_udm.target.file.size | 符号なし整数に変換されます。 |
ホスト名 | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
ターゲットが空の場合はホスト名として使用されます。 |
in | read_only_udm.network.received_bytes | 符号なし整数に変換されます。 |
msg | read_only_udm.security_result.description | |
name | read_only_udm.security_result.summary | |
組織 | read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name |
|
proto | read_only_udm.network.ip_protocol | 「ICMPv6」の場合は「ICMP」に置き換えられます。 |
product_version | read_only_udm.metadata.product_version | |
結果 | read_only_udm.security_result.summary | |
sev | read_only_udm.security_result.severity read_only_udm.security_result.severity_details |
値に基づいて severity にマッピングされ、severity_details にもマッピングされます。 |
shost | read_only_udm.principal.hostname read_only_udm.principal.asset.hostname |
|
src | read_only_udm.principal.ip read_only_udm.principal.asset.ip |
|
srcMAC | read_only_udm.principal.mac | 小文字に変換されます。 |
srcPort | read_only_udm.principal.port | 整数に変換されます。 |
suid | read_only_udm.principal.user.userid | |
suser | read_only_udm.principal.user.user_display_name | |
ターゲット | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
timestamp | read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos |
タイムスタンプとして解析されます。 |
TrendMicroDsBehaviorType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsFileSHA1 | read_only_udm.target.file.sha1 | 小文字に変換されます。 |
TrendMicroDsFrameType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTarget | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetCount | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsProcess | read_only_udm.security_result.detection_fields.value | 「ProgramFiles\(x86\)」を「Program Files(x86)」に置き換えました。 |
TrendMicroDsTenant | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsTenantId | read_only_udm.security_result.detection_fields.value | |
usrName | read_only_udm.principal.user.userid | |
read_only_udm.metadata.event_type | 送信元と宛先の両方が存在する場合は「NETWORK_HTTP」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。 | |
read_only_udm.metadata.log_type | 「TRENDMICRO_DEEP_SECURITY」に設定します。 |
変更
2024-04-17
- これで、パーサーは未加工ログの「event_name」を UDM の「metadata.product_event_type」フィールドにマッピングします。
- 「act」フィールドが UDM の「security_result.action_details」に追加でマッピングされるようになりました。
2024-03-29
- さまざまな「cef_event_attributes」形式の処理を改善しました。
- より適切に整理するために、いくつかのフィールドが新しい UDM フィールドにマッピングされました。
- 「log_type」が「metadata.product_name」に変更されました
- 「organization」が「metadata.vendor_name」に変更されました
- 未加工ログの新しいフィールド(「suer」、「suid」、「fileHash」など)が UDM にマッピングされるようになりました。詳細については、マッピング シートへのリンクをご覧ください。
2024-03-23
- 「event_attributes」と「cef_event_attributes」の両方の形式の解析を強化しました。
- 「name」フィールドが UDM の「security_result.summary」にマッピングされるようになりました。
2024-03-04
- CEF 形式のログを解析する機能が追加されました。
- 次のようないくつかのフィールドを未加工ログから対応する UDM フィールドにマッピングしました。
- 「TrendMicroDsFileSHA1」を「target.file.sha1」に
- 「msg」を「security_result.description」に
- 「result」を「security_result.summary」に
- 「filePath」を「target.file.full_path」に
- TrendMicro の検出に関連する複数のフィールドが「security_result.detection_fields」にマッピングされるようになりました。
- 「dvchost」または「cef_host」の可用性に基づいて「target.hostname」フィールドをマッピングするロジックを改善しました。
2024-02-13
- 「target」フィールドは、UDM の「target.hostname」にマッピングされるようになりました。
- 「usrName」フィールドは、UDM の「principal.user.userid」にマッピングされるようになりました。
2022-09-01
- 新しく作成されたパーサー。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。