Coletar registros de segurança avançada da Trend Micro

Este documento descreve como coletar os registros do Trend Micro Deep Security usando o Google Security Operations. Esse analisador transforma os registros, que podem estar no formato LEEF+CEF ou CEF, em um modelo de dados unificado (UDM, na sigla em inglês). Ele extrai campos das mensagens de registro usando padrões grok e pares de chave-valor, depois os mapeia para os campos UDM correspondentes, processando várias tarefas de limpeza e normalização de dados.

Antes de começar

• Verifique se você tem uma instância do Google SecOps.
• Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Verifique se você tem acesso privilegiado ao console do TrendMicro Deep Security.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o agente Bindplane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID real do cliente.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças.

• No Linux, para reiniciar o agente do Bindplane, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• No Windows, para reiniciar o agente do Bindplane, use o console Services ou digite o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar o Syslog no TrendMicro Deep Security

1. Faça login no console da TrenMicro Deep Security.
2. Acesse Políticas > Objetos comuns > Outros > Configurações do Syslog.
3. Clique em Novo > Nova configuração.
4. Informe os seguintes detalhes da configuração:
   • Nome: nome exclusivo que identifica a configuração (por exemplo, Google SecOps Bindplane).
   • Opcional: Descrição: adicione uma descrição.
   • Identificador da origem do registro: especifique um identificador para usar em vez do nome do host do Deep Security Manager, se desejar.
   • Nome do servidor: insira o nome do host ou o endereço IP do servidor Syslog (Bindplane).
   • Porta do servidor: especifique o número da porta de escuta no servidor (Bindplane).
   • Transporte: selecione UDP como o protocolo de transporte.
   • Formato de evento: selecione LEEF ou CEF. O formato LEEF exige que você defina Os agentes devem encaminhar registros para Pelo Deep Security Manager.
   • Opcional: Incluir fuso horário nos eventos: se a data completa (incluindo ano e fuso horário) será adicionada ao evento.
   • Opcional: Os agentes precisam encaminhar registros: selecione Pelo Deep Security Manager se os registros estiverem formatados com LEEF.
5. Clique em Aplicar para finalizar as configurações.

Configurar o encaminhamento de eventos de segurança

1. Acesse Políticas e selecione a política aplicada aos computadores que você quer configurar.
2. Clique em Detalhes.
3. Na janela Editor de políticas, clique em Configurações > Encaminhamento de eventos.
4. Na seção Período entre o envio de eventos, defina o valor do período entre 10 e 60 segundos.
   • O valor padrão é de 60 segundos, e o valor recomendado é de 10 segundos.
5. Para cada um desses módulos de proteção:
   • Configuração do Syslog de antimalware
   • Configuração do Syslog de reputação da Web
   • Firewall
   • Configuração do Syslog de prevenção de invasões
   • Configuração do Syslog para inspeção de registros e monitoramento de integridade
6. Selecione a configuração do syslog a ser usada no menu de contexto:
   • Nome da configuração do Syslog: selecione a configuração apropriada.
7. Clique em Salvar para aplicar as configurações.

Configurar o encaminhamento de eventos do sistema

1. Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
2. Em Forward System Events to a remote computer (via Syslog) using configuration, selecione a configuração atual criada anteriormente.
3. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento de UDM	Lógica
ato	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	Convertido em string.
gato	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Usado como nome de host se o dvchost estiver vazio.
cn1	read_only_udm.target.asset_id	Prefixado com "ID do host:".
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	Convertido em letras minúsculas e mapeado para sha1 se cs2Label for "sha1". Caso contrário, será mapeado para detection_fields.
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	Convertido em letras minúsculas e mapeado para md5 se cs3Label for "md5". Caso contrário, será mapeado para detection_fields.
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	Convertido em string.
desc	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	Convertido em letras minúsculas.
dstPort	read_only_udm.target.port	Convertido em número inteiro.
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	Usado como product_event_type se event_name não estiver vazio. Caso contrário, será usado sozinho.
event_name	read_only_udm.metadata.product_event_type	Tem o prefixo "[event_id] - " e é usado como product_event_type.
fileHash	read_only_udm.target.file.sha256	Convertido em letras minúsculas.
filePath	read_only_udm.target.file.full_path	"ProgramFiles\(x86\)" substituído por "Program Files (x86)".
fsize	read_only_udm.target.file.size	Convertido em número inteiro sem sinal.
nome do host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	Usado como nome de host se o destino estiver vazio.
em	read_only_udm.network.received_bytes	Convertido em número inteiro sem sinal.
msg	read_only_udm.security_result.description
nome	read_only_udm.security_result.summary
organização	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	Substituído por "ICMP" se for "ICMPv6".
product_version	read_only_udm.metadata.product_version
result	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	Mapeado para "severity" com base no valor, também mapeado para "severity_details".
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	Convertido em letras minúsculas.
srcPort	read_only_udm.principal.port	Convertido em número inteiro.
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
target	read_only_udm.target.hostname read_only_udm.target.asset.hostname
timestamp	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	Analisado para carimbo de data/hora.
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	Convertido em letras minúsculas.
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	"ProgramFiles\(x86\)" substituído por "Program Files (x86)".
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	Defina como "NETWORK_HTTP" se a origem e o destino estiverem presentes. Caso contrário, defina como "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Defina como "TRENDMICRO_DEEP_SECURITY".

Alterações

2024-04-17

• O analisador agora mapeia "event_name" do registro bruto para o campo "metadata.product_event_type" no UDM.
• O campo "act" agora também é mapeado para "security_result.action_details" no UDM.

2024-03-29

• Melhoramos o processamento de diferentes formatos de "cef_event_attributes".
• Vários campos foram mapeados para novos campos da UDM para melhor organização:
• "log_type" agora é "metadata.product_name"
• "organization" agora é "metadata.vendor_name"
• Os novos campos dos registros brutos (como "suer", "suid", "fileHash" etc.) agora são mapeados para o UDM. Um link para uma planilha de mapeamento é fornecido com detalhes.

2024-03-23

• Melhoria na análise dos formatos "event_attributes" e "cef_event_attributes".
• O campo "name" agora é mapeado para "security_result.summary" no UDM.

2024-03-04

• Foi adicionado suporte à análise de registros de formato CEF.
• Mapeamos vários campos dos registros brutos para os campos correspondentes do UDM, incluindo:
• De "TrendMicroDsFileSHA1" para "target.file.sha1"
• "msg" para "security_result.description"
• "result" para "security_result.summary"
• "filePath" para "target.file.full_path"
• Vários campos relacionados às detecções do TrendMicro agora são mapeados para "security_result.detection_fields".
• Melhoria na lógica de mapeamento do campo "target.hostname" com base na disponibilidade de "dvchost" ou "cef_host".

2024-02-13

• O campo "target" agora é mapeado para "target.hostname" no UDM.
• O campo "usrName" agora é mapeado para "principal.user.userid" no UDM.

2022-09-01

• Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.