收集 Trend Micro Deep Security 日志

本文档介绍了如何使用 Google Security Operations 收集 Trend Micro Deep Security 日志。此解析器会将日志（可以采用 LEEF+CEF 或 CEF 格式）解析为统一数据模型 (UDM)。它使用 Grok 模式和键值对从日志消息中提取字段，然后将其映射到相应的 UDM 字段，同时处理各种数据清理和标准化任务。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您使用的是 Windows 2016 或更高版本，或者使用 systemd 的 Linux 主机。
• 如果在代理后面运行，请确保防火墙端口处于打开状态。
• 确保您拥有对 TrendMicro Deep Security 控制台的特权访问权限。

获取 Google SecOps 提取身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。
3. 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次选择 SIEM 设置 > 配置文件。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane Agent

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安装资源

• 如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

1. 访问配置文件：

   • 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，则位于安装目录中。
   • 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

2. 按如下方式修改 config.yaml 文件：

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: trendmicro_deep_security
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. 根据基础架构中的需要替换端口和 IP 地址。

4. 将 <customer_id> 替换为实际的客户 ID。

5. 在获取 Google SecOps 提取身份验证文件部分，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

• 在 Linux 中，如需重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart bindplane-agent
  

• 在 Windows 中，如需重启 Bindplane Agent，您可以使用服务控制台，也可以输入以下命令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

在 TrendMicro Deep Security 中配置 Syslog

1. 登录 TrenMicro Deep Security 控制台。
2. 依次选择政策 > 常见对象 > 其他 > Syslog 配置。
3. 依次点击新建 > 新建配置。
4. 请提供以下配置详细信息：
   • 名称：用于标识配置的唯一名称（例如 Google SecOps Bindplane）
   • 可选：说明：添加说明。
   • 日志来源标识符：根据需要，指定要使用的标识符（而不是 Deep Security Manager 的主机名）。
   • 服务器名称：输入 Syslog 服务器 (Bindplane) 的主机名或 IP 地址。
   • 服务器端口：指定服务器上的监听端口号（绑定平面）。
   • 传输：选择 UDP 作为传输协议。
   • 事件格式：选择 LEEF 或 CEF（如果选择 LEEF 格式，则需要将代理应转发日志设置为通过 Deep Security Manager）。
   • 可选：在活动中添加时区：是否向活动添加完整日期（包括年份和时区）。
   • 可选：代理应转发日志：如果日志采用 LEEF 格式，请选择通过 Deep Security Manager。
5. 点击应用以最终确定设置。

配置安全事件转发

1. 前往政策，然后选择要应用于要配置的计算机的政策。
2. 点击详细信息。
3. 在政策编辑器窗口中，依次点击设置 > 事件转发。
4. 在发送事件之间的间隔时间部分，将间隔时间值设置为介于 10 到 60 秒之间的时间段。
   • 默认值为 60 秒，建议的值为 10 秒。
5. 对于以下每个保护模块：
   • 反恶意软件 Syslog 配置
   • 网站声誉 Syslog 配置
   • 防火墙
   • 入侵防御 Syslog 配置
   • 日志检查和完整性监控 Syslog 配置
6. 从上下文菜单中选择要使用的 syslog 配置：
   • Syslog 配置名称：选择相应的配置。
7. 点击保存以应用设置。

配置系统事件转发

1. 依次前往管理 > 系统设置 > 事件转发。
2. 在使用配置将系统事件转发到远程计算机（通过 Syslog）中，选择之前创建的现有配置。
3. 点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
法案	read_only_udm.security_result.action_details
aggregationType	read_only_udm.additional.fields.value.string_value	已转换为字符串。
猫	read_only_udm.security_result.category_details
cef_host	read_only_udm.target.hostname read_only_udm.target.asset.hostname	如果 dvchost 为空，则用作主机名。
cn1	read_only_udm.target.asset_id	带有“Host Id:”前缀。
cs1	read_only_udm.security_result.detection_fields.value
cs1Label	read_only_udm.security_result.detection_fields.key
cs2	read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value	如果 cs2Label 为“sha1”，则转换为小写形式并映射到 sha1；否则，映射到 detection_fields。
cs2Label	read_only_udm.security_result.detection_fields.key
cs3	read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value	如果 cs3Label 为“md5”，则转换为小写并映射到 md5；否则映射到 detection_fields。
cs3Label	read_only_udm.security_result.detection_fields.key
cs5	read_only_udm.security_result.detection_fields.value
cs5Label	read_only_udm.security_result.detection_fields.key
cs6	read_only_udm.security_result.detection_fields.value
cs6Label	read_only_udm.security_result.detection_fields.key
cs7	read_only_udm.security_result.detection_fields.value
cs7Label	read_only_udm.security_result.detection_fields.key
cnt	read_only_udm.additional.fields.value.string_value	已转换为字符串。
降序	read_only_udm.metadata.description
dst	read_only_udm.target.ip read_only_udm.target.asset.ip
dstMAC	read_only_udm.target.mac	转换为小写。
dstPort	read_only_udm.target.port	转换为整数。
duser	read_only_udm.target.user.user_display_name
dvc	read_only_udm.about.ip
dvchost	read_only_udm.target.hostname read_only_udm.target.asset.hostname
event_id	read_only_udm.metadata.product_event_type	如果 event_name 不为空，则用作 product_event_type；否则单独使用。
event_name	read_only_udm.metadata.product_event_type	前缀为“[event_id] - ”，并用作 product_event_type。
fileHash	read_only_udm.target.file.sha256	转换为小写。
filePath	read_only_udm.target.file.full_path	将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。
fsize	read_only_udm.target.file.size	已转换为无符号整数。
主机名	read_only_udm.target.hostname read_only_udm.target.asset.hostname	如果目标为空，则用作主机名。
英寸	read_only_udm.network.received_bytes	已转换为无符号整数。
msg	read_only_udm.security_result.description
name	read_only_udm.security_result.summary
组织	read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name
proto	read_only_udm.network.ip_protocol	如果为“ICMPv6”，则替换为“ICMP”。
product_version	read_only_udm.metadata.product_version
结果	read_only_udm.security_result.summary
sev	read_only_udm.security_result.severity read_only_udm.security_result.severity_details	根据其值映射到严重程度，也映射到 severity_details。
shost	read_only_udm.principal.hostname read_only_udm.principal.asset.hostname
src	read_only_udm.principal.ip read_only_udm.principal.asset.ip
srcMAC	read_only_udm.principal.mac	转换为小写。
srcPort	read_only_udm.principal.port	转换为整数。
suid	read_only_udm.principal.user.userid
suser	read_only_udm.principal.user.user_display_name
目标	read_only_udm.target.hostname read_only_udm.target.asset.hostname
时间戳	read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos	已解析为时间戳。
TrendMicroDsBehaviorType	read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1	read_only_udm.target.file.sha1	转换为小写。
TrendMicroDsFrameType	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount	read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType	read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess	read_only_udm.security_result.detection_fields.value	将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。
TrendMicroDsTenant	read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId	read_only_udm.security_result.detection_fields.value
usrName	read_only_udm.principal.user.userid
	read_only_udm.metadata.event_type	如果同时存在来源和目的地，请将其设置为“NETWORK_HTTP”，否则请将其设置为“GENERIC_EVENT”。
	read_only_udm.metadata.log_type	设置为“TRENDMICRO_DEEP_SECURITY”。

变化

2024-04-17

• 现在，解析器会将原始日志中的“event_name”映射到 UDM 中的“metadata.product_event_type”字段。
• “act”字段现在还会映射到 UDM 中的“security_result.action_details”。

2024-03-29

• 改进了对不同“cef_event_attributes”格式的处理。
• 我们将多个字段映射到了新的 UDM 字段，以便更好地进行整理：
• “log_type”现已更名为“metadata.product_name”
• “organization”现已更名为“metadata.vendor_name”
• 原始日志中的新字段（例如“suer”“suid”“fileHash”等）现已映射到 UDM。我们提供了映射表的链接，供您了解详情。

2024-03-23

• 改进了“event_attributes”和“cef_event_attributes”格式的解析。
• “name”字段现在映射到 UDM 中的“security_result.summary”。

2024-03-04

• 添加了对解析 CEF 格式日志的支持。
• 将原始日志中的多个字段映射到了相应的 UDM 字段，包括：
• 将“TrendMicroDsFileSHA1”更改为“target.file.sha1”
• “msg”更改为“security_result.description”
• “result”更改为“security_result.summary”
• 将“filePath”更改为“target.file.full_path”
• 与 TrendMicro 检测相关的多个字段现在已映射到“security_result.detection_fields”。
• 改进了根据“dvchost”或“cef_host”的可用性映射“target.hostname”字段的逻辑。

2024-02-13

• “target”字段现在会映射到 UDM 中的“target.hostname”。
• “usrName”字段现在映射到 UDM 中的“principal.user.userid”。

2022-09-01

• 新创建的解析器。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。