Coletar registros de segurança avançada da Trend Micro
Este documento descreve como coletar os registros do Trend Micro Deep Security usando o Google Security Operations. Esse analisador transforma os registros, que podem estar no formato LEEF+CEF ou CEF, em um modelo de dados unificado (UDM, na sigla em inglês). Ele extrai campos das mensagens de registro usando padrões grok e pares de chave-valor, depois os mapeia para os campos UDM correspondentes, processando várias tarefas de limpeza e normalização de dados.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com
systemd
. - Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado ao console do TrendMicro Deep Security.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o agente Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
- Para mais opções de instalação, consulte este guia de instalação.
Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele está no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Notepad).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_deep_security raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID real do cliente.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças.
No Linux, para reiniciar o agente do Bindplane, execute o seguinte comando:
sudo systemctl restart bindplane-agent
No Windows, para reiniciar o agente do Bindplane, use o console Services ou digite o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no TrendMicro Deep Security
- Faça login no console da TrenMicro Deep Security.
- Acesse Políticas > Objetos comuns > Outros > Configurações do Syslog.
- Clique em Novo > Nova configuração.
- Informe os seguintes detalhes da configuração:
- Nome: nome exclusivo que identifica a configuração (por exemplo, Google SecOps Bindplane).
- Opcional: Descrição: adicione uma descrição.
- Identificador da origem do registro: especifique um identificador para usar em vez do nome do host do Deep Security Manager, se desejar.
- Nome do servidor: insira o nome do host ou o endereço IP do servidor Syslog (Bindplane).
- Porta do servidor: especifique o número da porta de escuta no servidor (Bindplane).
- Transporte: selecione UDP como o protocolo de transporte.
- Formato de evento: selecione LEEF ou CEF. O formato LEEF exige que você defina Os agentes devem encaminhar registros para Pelo Deep Security Manager.
- Opcional: Incluir fuso horário nos eventos: se a data completa (incluindo ano e fuso horário) será adicionada ao evento.
- Opcional: Os agentes precisam encaminhar registros: selecione Pelo Deep Security Manager se os registros estiverem formatados com LEEF.
- Clique em Aplicar para finalizar as configurações.
Configurar o encaminhamento de eventos de segurança
- Acesse Políticas e selecione a política aplicada aos computadores que você quer configurar.
- Clique em Detalhes.
- Na janela Editor de políticas, clique em Configurações > Encaminhamento de eventos.
- Na seção Período entre o envio de eventos, defina o valor do período entre 10 e 60 segundos.
- O valor padrão é de 60 segundos, e o valor recomendado é de 10 segundos.
- Para cada um desses módulos de proteção:
- Configuração do Syslog de antimalware
- Configuração do Syslog de reputação da Web
- Firewall
- Configuração do Syslog de prevenção de invasões
- Configuração do Syslog para inspeção de registros e monitoramento de integridade
- Selecione a configuração do syslog a ser usada no menu de contexto:
- Nome da configuração do Syslog: selecione a configuração apropriada.
- Clique em Salvar para aplicar as configurações.
Configurar o encaminhamento de eventos do sistema
- Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
- Em Forward System Events to a remote computer (via Syslog) using configuration, selecione a configuração atual criada anteriormente.
- Clique em Salvar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento de UDM | Lógica |
---|---|---|
ato | read_only_udm.security_result.action_details | |
aggregationType | read_only_udm.additional.fields.value.string_value | Convertido em string. |
gato | read_only_udm.security_result.category_details | |
cef_host | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
Usado como nome de host se o dvchost estiver vazio. |
cn1 | read_only_udm.target.asset_id | Prefixado com "ID do host:". |
cs1 | read_only_udm.security_result.detection_fields.value | |
cs1Label | read_only_udm.security_result.detection_fields.key | |
cs2 | read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value |
Convertido em letras minúsculas e mapeado para sha1 se cs2Label for "sha1". Caso contrário, será mapeado para detection_fields. |
cs2Label | read_only_udm.security_result.detection_fields.key | |
cs3 | read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value |
Convertido em letras minúsculas e mapeado para md5 se cs3Label for "md5". Caso contrário, será mapeado para detection_fields. |
cs3Label | read_only_udm.security_result.detection_fields.key | |
cs5 | read_only_udm.security_result.detection_fields.value | |
cs5Label | read_only_udm.security_result.detection_fields.key | |
cs6 | read_only_udm.security_result.detection_fields.value | |
cs6Label | read_only_udm.security_result.detection_fields.key | |
cs7 | read_only_udm.security_result.detection_fields.value | |
cs7Label | read_only_udm.security_result.detection_fields.key | |
cnt | read_only_udm.additional.fields.value.string_value | Convertido em string. |
desc | read_only_udm.metadata.description | |
dst | read_only_udm.target.ip read_only_udm.target.asset.ip |
|
dstMAC | read_only_udm.target.mac | Convertido em letras minúsculas. |
dstPort | read_only_udm.target.port | Convertido em número inteiro. |
duser | read_only_udm.target.user.user_display_name | |
dvc | read_only_udm.about.ip | |
dvchost | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
event_id | read_only_udm.metadata.product_event_type | Usado como product_event_type se event_name não estiver vazio. Caso contrário, será usado sozinho. |
event_name | read_only_udm.metadata.product_event_type | Tem o prefixo "[event_id] - " e é usado como product_event_type. |
fileHash | read_only_udm.target.file.sha256 | Convertido em letras minúsculas. |
filePath | read_only_udm.target.file.full_path | "ProgramFiles\(x86\)" substituído por "Program Files (x86)". |
fsize | read_only_udm.target.file.size | Convertido em número inteiro sem sinal. |
nome do host | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
Usado como nome de host se o destino estiver vazio. |
em | read_only_udm.network.received_bytes | Convertido em número inteiro sem sinal. |
msg | read_only_udm.security_result.description | |
nome | read_only_udm.security_result.summary | |
organização | read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name |
|
proto | read_only_udm.network.ip_protocol | Substituído por "ICMP" se for "ICMPv6". |
product_version | read_only_udm.metadata.product_version | |
result | read_only_udm.security_result.summary | |
sev | read_only_udm.security_result.severity read_only_udm.security_result.severity_details |
Mapeado para "severity" com base no valor, também mapeado para "severity_details". |
shost | read_only_udm.principal.hostname read_only_udm.principal.asset.hostname |
|
src | read_only_udm.principal.ip read_only_udm.principal.asset.ip |
|
srcMAC | read_only_udm.principal.mac | Convertido em letras minúsculas. |
srcPort | read_only_udm.principal.port | Convertido em número inteiro. |
suid | read_only_udm.principal.user.userid | |
suser | read_only_udm.principal.user.user_display_name | |
target | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
timestamp | read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos |
Analisado para carimbo de data/hora. |
TrendMicroDsBehaviorType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsFileSHA1 | read_only_udm.target.file.sha1 | Convertido em letras minúsculas. |
TrendMicroDsFrameType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTarget | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetCount | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsProcess | read_only_udm.security_result.detection_fields.value | "ProgramFiles\(x86\)" substituído por "Program Files (x86)". |
TrendMicroDsTenant | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsTenantId | read_only_udm.security_result.detection_fields.value | |
usrName | read_only_udm.principal.user.userid | |
read_only_udm.metadata.event_type | Defina como "NETWORK_HTTP" se a origem e o destino estiverem presentes. Caso contrário, defina como "GENERIC_EVENT". | |
read_only_udm.metadata.log_type | Defina como "TRENDMICRO_DEEP_SECURITY". |
Alterações
2024-04-17
- O analisador agora mapeia "event_name" do registro bruto para o campo "metadata.product_event_type" no UDM.
- O campo "act" agora também é mapeado para "security_result.action_details" no UDM.
2024-03-29
- Melhoramos o processamento de diferentes formatos de "cef_event_attributes".
- Vários campos foram mapeados para novos campos da UDM para melhor organização:
- "log_type" agora é "metadata.product_name"
- "organization" agora é "metadata.vendor_name"
- Os novos campos dos registros brutos (como "suer", "suid", "fileHash" etc.) agora são mapeados para o UDM. Um link para uma planilha de mapeamento é fornecido com detalhes.
2024-03-23
- Melhoria na análise dos formatos "event_attributes" e "cef_event_attributes".
- O campo "name" agora é mapeado para "security_result.summary" no UDM.
2024-03-04
- Foi adicionado suporte à análise de registros de formato CEF.
- Mapeamos vários campos dos registros brutos para os campos correspondentes do UDM, incluindo:
- De "TrendMicroDsFileSHA1" para "target.file.sha1"
- "msg" para "security_result.description"
- "result" para "security_result.summary"
- "filePath" para "target.file.full_path"
- Vários campos relacionados às detecções do TrendMicro agora são mapeados para "security_result.detection_fields".
- Melhoria na lógica de mapeamento do campo "target.hostname" com base na disponibilidade de "dvchost" ou "cef_host".
2024-02-13
- O campo "target" agora é mapeado para "target.hostname" no UDM.
- O campo "usrName" agora é mapeado para "principal.user.userid" no UDM.
2022-09-01
- Parser recém-criado.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.