Coletar registros de segurança avançada da Trend Micro

Compatível com:

Este documento descreve como coletar os registros do Trend Micro Deep Security usando o Google Security Operations. Esse analisador transforma os registros, que podem estar no formato LEEF+CEF ou CEF, em um modelo de dados unificado (UDM, na sigla em inglês). Ele extrai campos das mensagens de registro usando padrões grok e pares de chave-valor, depois os mapeia para os campos UDM correspondentes, processando várias tarefas de limpeza e normalização de dados.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado ao console do TrendMicro Deep Security.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o agente Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    • Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: trendmicro_deep_security
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID real do cliente.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças.

  • No Linux, para reiniciar o agente do Bindplane, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • No Windows, para reiniciar o agente do Bindplane, use o console Services ou digite o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o Syslog no TrendMicro Deep Security

  1. Faça login no console da TrenMicro Deep Security.
  2. Acesse Políticas > Objetos comuns > Outros > Configurações do Syslog.
  3. Clique em Novo > Nova configuração.
  4. Informe os seguintes detalhes da configuração:
    • Nome: nome exclusivo que identifica a configuração (por exemplo, Google SecOps Bindplane).
    • Opcional: Descrição: adicione uma descrição.
    • Identificador da origem do registro: especifique um identificador para usar em vez do nome do host do Deep Security Manager, se desejar.
    • Nome do servidor: insira o nome do host ou o endereço IP do servidor Syslog (Bindplane).
    • Porta do servidor: especifique o número da porta de escuta no servidor (Bindplane).
    • Transporte: selecione UDP como o protocolo de transporte.
    • Formato de evento: selecione LEEF ou CEF. O formato LEEF exige que você defina Os agentes devem encaminhar registros para Pelo Deep Security Manager.
    • Opcional: Incluir fuso horário nos eventos: se a data completa (incluindo ano e fuso horário) será adicionada ao evento.
    • Opcional: Os agentes precisam encaminhar registros: selecione Pelo Deep Security Manager se os registros estiverem formatados com LEEF.
  5. Clique em Aplicar para finalizar as configurações.

Configurar o encaminhamento de eventos de segurança

  1. Acesse Políticas e selecione a política aplicada aos computadores que você quer configurar.
  2. Clique em Detalhes.
  3. Na janela Editor de políticas, clique em Configurações > Encaminhamento de eventos.
  4. Na seção Período entre o envio de eventos, defina o valor do período entre 10 e 60 segundos.
    • O valor padrão é de 60 segundos, e o valor recomendado é de 10 segundos.
  5. Para cada um desses módulos de proteção:
    • Configuração do Syslog de antimalware
    • Configuração do Syslog de reputação da Web
    • Firewall
    • Configuração do Syslog de prevenção de invasões
    • Configuração do Syslog para inspeção de registros e monitoramento de integridade
  6. Selecione a configuração do syslog a ser usada no menu de contexto:
    • Nome da configuração do Syslog: selecione a configuração apropriada.
  7. Clique em Salvar para aplicar as configurações.

Configurar o encaminhamento de eventos do sistema

  1. Acesse Administração > Configurações do sistema > Encaminhamento de eventos.
  2. Em Forward System Events to a remote computer (via Syslog) using configuration, selecione a configuração atual criada anteriormente.
  3. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento de UDM Lógica
ato read_only_udm.security_result.action_details
aggregationType read_only_udm.additional.fields.value.string_value Convertido em string.
gato read_only_udm.security_result.category_details
cef_host read_only_udm.target.hostname
read_only_udm.target.asset.hostname
Usado como nome de host se o dvchost estiver vazio.
cn1 read_only_udm.target.asset_id Prefixado com "ID do host:".
cs1 read_only_udm.security_result.detection_fields.value
cs1Label read_only_udm.security_result.detection_fields.key
cs2 read_only_udm.target.file.sha1
read_only_udm.security_result.detection_fields.value
Convertido em letras minúsculas e mapeado para sha1 se cs2Label for "sha1". Caso contrário, será mapeado para detection_fields.
cs2Label read_only_udm.security_result.detection_fields.key
cs3 read_only_udm.target.file.md5
read_only_udm.security_result.detection_fields.value
Convertido em letras minúsculas e mapeado para md5 se cs3Label for "md5". Caso contrário, será mapeado para detection_fields.
cs3Label read_only_udm.security_result.detection_fields.key
cs5 read_only_udm.security_result.detection_fields.value
cs5Label read_only_udm.security_result.detection_fields.key
cs6 read_only_udm.security_result.detection_fields.value
cs6Label read_only_udm.security_result.detection_fields.key
cs7 read_only_udm.security_result.detection_fields.value
cs7Label read_only_udm.security_result.detection_fields.key
cnt read_only_udm.additional.fields.value.string_value Convertido em string.
desc read_only_udm.metadata.description
dst read_only_udm.target.ip
read_only_udm.target.asset.ip
dstMAC read_only_udm.target.mac Convertido em letras minúsculas.
dstPort read_only_udm.target.port Convertido em número inteiro.
duser read_only_udm.target.user.user_display_name
dvc read_only_udm.about.ip
dvchost read_only_udm.target.hostname
read_only_udm.target.asset.hostname
event_id read_only_udm.metadata.product_event_type Usado como product_event_type se event_name não estiver vazio. Caso contrário, será usado sozinho.
event_name read_only_udm.metadata.product_event_type Tem o prefixo "[event_id] - " e é usado como product_event_type.
fileHash read_only_udm.target.file.sha256 Convertido em letras minúsculas.
filePath read_only_udm.target.file.full_path "ProgramFiles\(x86\)" substituído por "Program Files (x86)".
fsize read_only_udm.target.file.size Convertido em número inteiro sem sinal.
nome do host read_only_udm.target.hostname
read_only_udm.target.asset.hostname
Usado como nome de host se o destino estiver vazio.
em read_only_udm.network.received_bytes Convertido em número inteiro sem sinal.
msg read_only_udm.security_result.description
nome read_only_udm.security_result.summary
organização read_only_udm.target.administrative_domain
read_only_udm.metadata.vendor_name
proto read_only_udm.network.ip_protocol Substituído por "ICMP" se for "ICMPv6".
product_version read_only_udm.metadata.product_version
result read_only_udm.security_result.summary
sev read_only_udm.security_result.severity
read_only_udm.security_result.severity_details
Mapeado para "severity" com base no valor, também mapeado para "severity_details".
shost read_only_udm.principal.hostname
read_only_udm.principal.asset.hostname
src read_only_udm.principal.ip
read_only_udm.principal.asset.ip
srcMAC read_only_udm.principal.mac Convertido em letras minúsculas.
srcPort read_only_udm.principal.port Convertido em número inteiro.
suid read_only_udm.principal.user.userid
suser read_only_udm.principal.user.user_display_name
target read_only_udm.target.hostname
read_only_udm.target.asset.hostname
timestamp read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_timestamp.nanos
Analisado para carimbo de data/hora.
TrendMicroDsBehaviorType read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1 read_only_udm.target.file.sha1 Convertido em letras minúsculas.
TrendMicroDsFrameType read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess read_only_udm.security_result.detection_fields.value "ProgramFiles\(x86\)" substituído por "Program Files (x86)".
TrendMicroDsTenant read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId read_only_udm.security_result.detection_fields.value
usrName read_only_udm.principal.user.userid
read_only_udm.metadata.event_type Defina como "NETWORK_HTTP" se a origem e o destino estiverem presentes. Caso contrário, defina como "GENERIC_EVENT".
read_only_udm.metadata.log_type Defina como "TRENDMICRO_DEEP_SECURITY".

Alterações

2024-04-17

  • O analisador agora mapeia "event_name" do registro bruto para o campo "metadata.product_event_type" no UDM.
  • O campo "act" agora também é mapeado para "security_result.action_details" no UDM.

2024-03-29

  • Melhoramos o processamento de diferentes formatos de "cef_event_attributes".
  • Vários campos foram mapeados para novos campos da UDM para melhor organização:
  • "log_type" agora é "metadata.product_name"
  • "organization" agora é "metadata.vendor_name"
  • Os novos campos dos registros brutos (como "suer", "suid", "fileHash" etc.) agora são mapeados para o UDM. Um link para uma planilha de mapeamento é fornecido com detalhes.

2024-03-23

  • Melhoria na análise dos formatos "event_attributes" e "cef_event_attributes".
  • O campo "name" agora é mapeado para "security_result.summary" no UDM.

2024-03-04

  • Foi adicionado suporte à análise de registros de formato CEF.
  • Mapeamos vários campos dos registros brutos para os campos correspondentes do UDM, incluindo:
  • De "TrendMicroDsFileSHA1" para "target.file.sha1"
  • "msg" para "security_result.description"
  • "result" para "security_result.summary"
  • "filePath" para "target.file.full_path"
  • Vários campos relacionados às detecções do TrendMicro agora são mapeados para "security_result.detection_fields".
  • Melhoria na lógica de mapeamento do campo "target.hostname" com base na disponibilidade de "dvchost" ou "cef_host".

2024-02-13

  • O campo "target" agora é mapeado para "target.hostname" no UDM.
  • O campo "usrName" agora é mapeado para "principal.user.userid" no UDM.

2022-09-01

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.