收集 Trend Micro Deep Security 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 收集 Trend Micro Deep Security 日志。此解析器会将日志(可以采用 LEEF+CEF 或 CEF 格式)解析为统一数据模型 (UDM)。它使用 Grok 模式和键值对从日志消息中提取字段,然后将其映射到相应的 UDM 字段,同时处理各种数据清理和标准化任务。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用
systemd
的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 TrendMicro Deep Security 控制台的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane Agent
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml
文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/
目录中;在 Windows 上,则位于安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: trendmicro_deep_security raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>
替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分,将
/path/to/ingestion-authentication-file.json
更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
在 Linux 中,如需重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
在 Windows 中,如需重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 TrendMicro Deep Security 中配置 Syslog
- 登录 TrenMicro Deep Security 控制台。
- 依次选择政策 > 常见对象 > 其他 > Syslog 配置。
- 依次点击新建 > 新建配置。
- 请提供以下配置详细信息:
- 名称:用于标识配置的唯一名称(例如 Google SecOps Bindplane)
- 可选:说明:添加说明。
- 日志来源标识符:根据需要,指定要使用的标识符(而不是 Deep Security Manager 的主机名)。
- 服务器名称:输入 Syslog 服务器 (Bindplane) 的主机名或 IP 地址。
- 服务器端口:指定服务器上的监听端口号(绑定平面)。
- 传输:选择 UDP 作为传输协议。
- 事件格式:选择 LEEF 或 CEF(如果选择 LEEF 格式,则需要将代理应转发日志设置为通过 Deep Security Manager)。
- 可选:在活动中添加时区:是否向活动添加完整日期(包括年份和时区)。
- 可选:代理应转发日志:如果日志采用 LEEF 格式,请选择通过 Deep Security Manager。
- 点击应用以最终确定设置。
配置安全事件转发
- 前往政策,然后选择要应用于要配置的计算机的政策。
- 点击详细信息。
- 在政策编辑器窗口中,依次点击设置 > 事件转发。
- 在发送事件之间的间隔时间部分,将间隔时间值设置为介于 10 到 60 秒之间的时间段。
- 默认值为 60 秒,建议的值为 10 秒。
- 对于以下每个保护模块:
- 反恶意软件 Syslog 配置
- 网站声誉 Syslog 配置
- 防火墙
- 入侵防御 Syslog 配置
- 日志检查和完整性监控 Syslog 配置
- 从上下文菜单中选择要使用的 syslog 配置:
- Syslog 配置名称:选择相应的配置。
- 点击保存以应用设置。
配置系统事件转发
- 依次前往管理 > 系统设置 > 事件转发。
- 在使用配置将系统事件转发到远程计算机(通过 Syslog)中,选择之前创建的现有配置。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
法案 | read_only_udm.security_result.action_details | |
aggregationType | read_only_udm.additional.fields.value.string_value | 已转换为字符串。 |
猫 | read_only_udm.security_result.category_details | |
cef_host | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
如果 dvchost 为空,则用作主机名。 |
cn1 | read_only_udm.target.asset_id | 带有“Host Id:”前缀。 |
cs1 | read_only_udm.security_result.detection_fields.value | |
cs1Label | read_only_udm.security_result.detection_fields.key | |
cs2 | read_only_udm.target.file.sha1 read_only_udm.security_result.detection_fields.value |
如果 cs2Label 为“sha1”,则转换为小写形式并映射到 sha1;否则,映射到 detection_fields。 |
cs2Label | read_only_udm.security_result.detection_fields.key | |
cs3 | read_only_udm.target.file.md5 read_only_udm.security_result.detection_fields.value |
如果 cs3Label 为“md5”,则转换为小写并映射到 md5;否则映射到 detection_fields。 |
cs3Label | read_only_udm.security_result.detection_fields.key | |
cs5 | read_only_udm.security_result.detection_fields.value | |
cs5Label | read_only_udm.security_result.detection_fields.key | |
cs6 | read_only_udm.security_result.detection_fields.value | |
cs6Label | read_only_udm.security_result.detection_fields.key | |
cs7 | read_only_udm.security_result.detection_fields.value | |
cs7Label | read_only_udm.security_result.detection_fields.key | |
cnt | read_only_udm.additional.fields.value.string_value | 已转换为字符串。 |
降序 | read_only_udm.metadata.description | |
dst | read_only_udm.target.ip read_only_udm.target.asset.ip |
|
dstMAC | read_only_udm.target.mac | 转换为小写。 |
dstPort | read_only_udm.target.port | 转换为整数。 |
duser | read_only_udm.target.user.user_display_name | |
dvc | read_only_udm.about.ip | |
dvchost | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
event_id | read_only_udm.metadata.product_event_type | 如果 event_name 不为空,则用作 product_event_type;否则单独使用。 |
event_name | read_only_udm.metadata.product_event_type | 前缀为“[event_id] - ”,并用作 product_event_type。 |
fileHash | read_only_udm.target.file.sha256 | 转换为小写。 |
filePath | read_only_udm.target.file.full_path | 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。 |
fsize | read_only_udm.target.file.size | 已转换为无符号整数。 |
主机名 | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
如果目标为空,则用作主机名。 |
英寸 | read_only_udm.network.received_bytes | 已转换为无符号整数。 |
msg | read_only_udm.security_result.description | |
name | read_only_udm.security_result.summary | |
组织 | read_only_udm.target.administrative_domain read_only_udm.metadata.vendor_name |
|
proto | read_only_udm.network.ip_protocol | 如果为“ICMPv6”,则替换为“ICMP”。 |
product_version | read_only_udm.metadata.product_version | |
结果 | read_only_udm.security_result.summary | |
sev | read_only_udm.security_result.severity read_only_udm.security_result.severity_details |
根据其值映射到严重程度,也映射到 severity_details。 |
shost | read_only_udm.principal.hostname read_only_udm.principal.asset.hostname |
|
src | read_only_udm.principal.ip read_only_udm.principal.asset.ip |
|
srcMAC | read_only_udm.principal.mac | 转换为小写。 |
srcPort | read_only_udm.principal.port | 转换为整数。 |
suid | read_only_udm.principal.user.userid | |
suser | read_only_udm.principal.user.user_display_name | |
目标 | read_only_udm.target.hostname read_only_udm.target.asset.hostname |
|
时间戳 | read_only_udm.metadata.event_timestamp.seconds read_only_udm.metadata.event_timestamp.nanos |
已解析为时间戳。 |
TrendMicroDsBehaviorType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsFileSHA1 | read_only_udm.target.file.sha1 | 转换为小写。 |
TrendMicroDsFrameType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTarget | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetCount | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsMalwareTargetType | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsProcess | read_only_udm.security_result.detection_fields.value | 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。 |
TrendMicroDsTenant | read_only_udm.security_result.detection_fields.value | |
TrendMicroDsTenantId | read_only_udm.security_result.detection_fields.value | |
usrName | read_only_udm.principal.user.userid | |
read_only_udm.metadata.event_type | 如果同时存在来源和目的地,请将其设置为“NETWORK_HTTP”,否则请将其设置为“GENERIC_EVENT”。 | |
read_only_udm.metadata.log_type | 设置为“TRENDMICRO_DEEP_SECURITY”。 |
变化
2024-04-17
- 现在,解析器会将原始日志中的“event_name”映射到 UDM 中的“metadata.product_event_type”字段。
- “act”字段现在还会映射到 UDM 中的“security_result.action_details”。
2024-03-29
- 改进了对不同“cef_event_attributes”格式的处理。
- 我们将多个字段映射到了新的 UDM 字段,以便更好地进行整理:
- “log_type”现已更名为“metadata.product_name”
- “organization”现已更名为“metadata.vendor_name”
- 原始日志中的新字段(例如“suer”“suid”“fileHash”等)现已映射到 UDM。我们提供了映射表的链接,供您了解详情。
2024-03-23
- 改进了“event_attributes”和“cef_event_attributes”格式的解析。
- “name”字段现在映射到 UDM 中的“security_result.summary”。
2024-03-04
- 添加了对解析 CEF 格式日志的支持。
- 将原始日志中的多个字段映射到了相应的 UDM 字段,包括:
- 将“TrendMicroDsFileSHA1”更改为“target.file.sha1”
- “msg”更改为“security_result.description”
- “result”更改为“security_result.summary”
- 将“filePath”更改为“target.file.full_path”
- 与 TrendMicro 检测相关的多个字段现在已映射到“security_result.detection_fields”。
- 改进了根据“dvchost”或“cef_host”的可用性映射“target.hostname”字段的逻辑。
2024-02-13
- “target”字段现在会映射到 UDM 中的“target.hostname”。
- “usrName”字段现在映射到 UDM 中的“principal.user.userid”。
2022-09-01
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。