Trend Micro Deep Security のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations を使用して Trend Micro Deep Security のログを収集する方法について説明します。このパーサーは、LEEF+CEF 形式または CEF 形式のログを統合データモデル（UDM）に変換します。Grok パターンと Key-Value ペアを使用してログメッセージからフィールドを抽出し、対応する UDM フィールドにマッピングします。この処理中に、さまざまなデータのクリーニングと正規化タスクも処理されます。

始める前に

Google SecOps インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
TrendMicro Deep Security コンソールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
取り込み認証ファイルをダウンロードします。BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux へのインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: trendmicro_deep_security
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

インフラストラクチャの要件に応じてポートと IP アドレスを置き換えます。
<customer_id> は実際のお客様 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

BindPlane Agent を再起動して変更を適用する

Linux で BindPlane Agent を再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で BindPlane Agent を再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

TrendMicro Deep Security で Syslog を構成する

TrenMicro Deep Security コンソールにログインします。
[Policies] > [Common Objects] > [Other] > [Syslog Configurations] に移動します。
[New] > [New Configuration] をクリックします。
構成の詳細を入力します。
- Name: 構成を識別する一意の名前（Google SecOps Bindplane など）
- 省略可: Description: 説明を追加します。
- Log Source Identifier: Deep Security Manager のホスト名の代わりに使用する ID を指定します（必要に応じて）。
- Server Name: Syslog サーバー（Bindplane）のホスト名または IP アドレスを入力します。
- Server Port: サーバーのリッスンポート番号（Bindplane）を指定します。
- Transport: トランスポートプロトコルとして [UDP] を選択します。
- Event Format: [LEEF] または [CEF] を選択します（LEEF 形式では、[Agents should forward logs] を [Via the Deep Security Manager] に設定する必要があります）。
- 省略可: Include time zone in events: 日付全体（年とタイムゾーンを含む）をイベントに追加するかどうか。
- 省略可: Agents should forward logs: ログが LEEF 形式である場合は、[Via the Deep Security Manager] を選択します。
[適用] をクリックして設定を確定します。

セキュリティイベントの転送を構成する

[Policies] に移動し、構成するパソコンに適用するポリシーを選択します。
[詳細] をクリックします。
[Policy editor] ウィンドウで、[Settings] > [Event Forwarding] をクリックします。
[Period between sending of events] セクションで、期間の値を 10～60 秒の範囲で設定します。
- デフォルト値は 60 秒、推奨値は 10 秒です。
これらの保護モジュールごとに、次の操作を行います。
- マルウェア対策 Syslog の構成
- ウェブレピュテーションの Syslog 構成
- ファイアウォール
- 侵入防止の Syslog 構成
- ログ検査と整合性モニタリングの Syslog 構成
コンテキストメニューから使用する syslog 構成を選択します。
- Syslog Configuration Name: 適切な構成を選択します。
[Save] をクリックして設定を適用します。

システムイベント転送を構成する

[Administration] > [System Settings] > [Event Forwarding] に移動します。
[Forward System Events to a remote computer (via Syslog) using configuration] で、前に作成した既存の構成を選択します。
[Save] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
act	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	文字列に変換されます。
cat	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	dvchost が空の場合にホスト名として使用されます。
cn1	read_only_udm.target.asset_id	「Host Id:」が接頭辞として付いています。
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	小文字に変換され、cs2Label が「sha1」の場合は sha1 にマッピングされ、それ以外の場合は detection_fields にマッピングされます。
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	小文字に変換され、cs3Label が「md5」の場合は md5 に、それ以外の場合は detection_fields にマッピングされます。
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	文字列に変換されます。
desc	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	小文字に変換されます。
dstPort	read_only_udm.target.port	整数に変換されます。
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	event_name が空でない場合、product_event_type として使用されます。それ以外の場合は単独で使用されます。
event_name	read_only_udm.metadata.product_event_type	"[event_id] - " が接頭辞として付加され、product_event_type として使用されます。
fileHash	read_only_udm.target.file.sha256	小文字に変換されます。
filePath	read_only_udm.target.file.full_path	「ProgramFiles\(x86\)」を「Program Files（x86）」に置き換えました。
fsize	read_only_udm.target.file.size	符号なし整数に変換されます。
ホスト名	read_only_udm.target.hostname read_only_udm.target.asset.hostname	ターゲットが空の場合はホスト名として使用されます。
in	read_only_udm.network.received_bytes	符号なし整数に変換されます。
msg	read_only_udm.security_result.description
name	read_only_udm.security_result.summary
組織	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	「ICMPv6」の場合は「ICMP」に置き換えられます。
product_version	read_only_udm.metadata.product_version
結果	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	値に基づいて severity にマッピングされ、severity_details にもマッピングされます。
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	小文字に変換されます。
srcPort	read_only_udm.principal.port	整数に変換されます。
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
ターゲット	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	タイムスタンプとして解析されます。
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	小文字に変換されます。
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	「ProgramFiles\(x86\)」を「Program Files（x86）」に置き換えました。
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	送信元と宛先の両方が存在する場合は「NETWORK_HTTP」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。
	read_only_udm.metadata.log_type	「TRENDMICRO_DEEP_SECURITY」に設定します。

変更

2024-04-17

これで、パーサーは未加工ログの「event_name」を UDM の「metadata.product_event_type」フィールドにマッピングします。
「act」フィールドが UDM の「security_result.action_details」に追加でマッピングされるようになりました。

2024-03-29

さまざまな「cef_event_attributes」形式の処理を改善しました。
より適切に整理するために、いくつかのフィールドが新しい UDM フィールドにマッピングされました。
「log_type」が「metadata.product_name」に変更されました
「organization」が「metadata.vendor_name」に変更されました
未加工ログの新しいフィールド（「suer」、「suid」、「fileHash」など）が UDM にマッピングされるようになりました。詳細については、マッピングシートへのリンクをご覧ください。

2024-03-23

「event_attributes」と「cef_event_attributes」の両方の形式の解析を強化しました。
「name」フィールドが UDM の「security_result.summary」にマッピングされるようになりました。

2024-03-04

CEF 形式のログを解析する機能が追加されました。
次のようないくつかのフィールドを未加工ログから対応する UDM フィールドにマッピングしました。
「TrendMicroDsFileSHA1」を「target.file.sha1」に
「msg」を「security_result.description」に
「result」を「security_result.summary」に
「filePath」を「target.file.full_path」に
TrendMicro の検出に関連する複数のフィールドが「security_result.detection_fields」にマッピングされるようになりました。
「dvchost」または「cef_host」の可用性に基づいて「target.hostname」フィールドをマッピングするロジックを改善しました。

2024-02-13

「target」フィールドは、UDM の「target.hostname」にマッピングされるようになりました。
「usrName」フィールドは、UDM の「principal.user.userid」にマッピングされるようになりました。

2022-09-01

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。