收集 Trend Micro Deep Security 日志

支持的平台:

本文档介绍了如何使用 Google Security Operations 收集 Trend Micro Deep Security 日志。此解析器会将日志(可以采用 LEEF+CEF 或 CEF 格式)解析为统一数据模型 (UDM)。它使用 Grok 模式和键值对从日志消息中提取字段,然后将其映射到相应的 UDM 字段,同时处理各种数据清理和标准化任务。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 TrendMicro Deep Security 控制台的特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane Agent

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell
  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。
  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    • 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,则位于安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: trendmicro_deep_security
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 在 Linux 中,如需重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent
    
  • 在 Windows 中,如需重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 TrendMicro Deep Security 中配置 Syslog

  1. 登录 TrenMicro Deep Security 控制台。
  2. 依次选择政策 > 常见对象 > 其他 > Syslog 配置
  3. 依次点击新建 > 新建配置
  4. 请提供以下配置详细信息:
    • 名称:用于标识配置的唯一名称(例如 Google SecOps Bindplane
    • 可选:说明:添加说明。
    • 日志来源标识符:根据需要,指定要使用的标识符(而不是 Deep Security Manager 的主机名)。
    • 服务器名称:输入 Syslog 服务器 (Bindplane) 的主机名或 IP 地址。
    • 服务器端口:指定服务器上的监听端口号(绑定平面)。
    • 传输:选择 UDP 作为传输协议。
    • 事件格式:选择 LEEFCEF(如果选择 LEEF 格式,则需要将代理应转发日志设置为通过 Deep Security Manager)。
    • 可选:在活动中添加时区:是否向活动添加完整日期(包括年份和时区)。
    • 可选:代理应转发日志:如果日志采用 LEEF 格式,请选择通过 Deep Security Manager
  5. 点击应用以最终确定设置。

配置安全事件转发

  1. 前往政策,然后选择要应用于要配置的计算机的政策。
  2. 点击详细信息
  3. 政策编辑器窗口中,依次点击设置 > 事件转发
  4. 发送事件之间的间隔时间部分,将间隔时间值设置为介于 10 到 60 秒之间的时间段。
    • 默认值为 60 秒,建议的值为 10 秒。
  5. 对于以下每个保护模块:
    • 反恶意软件 Syslog 配置
    • 网站声誉 Syslog 配置
    • 防火墙
    • 入侵防御 Syslog 配置
    • 日志检查和完整性监控 Syslog 配置
  6. 从上下文菜单中选择要使用的 syslog 配置:
    • Syslog 配置名称:选择相应的配置。
  7. 点击保存以应用设置。

配置系统事件转发

  1. 依次前往管理 > 系统设置 > 事件转发
  2. 使用配置将系统事件转发到远程计算机(通过 Syslog)中,选择之前创建的现有配置
  3. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
法案 read_only_udm.security_result.action_details
aggregationType read_only_udm.additional.fields.value.string_value 已转换为字符串。
read_only_udm.security_result.category_details
cef_host read_only_udm.target.hostname
read_only_udm.target.asset.hostname
如果 dvchost 为空,则用作主机名。
cn1 read_only_udm.target.asset_id 带有“Host Id:”前缀。
cs1 read_only_udm.security_result.detection_fields.value
cs1Label read_only_udm.security_result.detection_fields.key
cs2 read_only_udm.target.file.sha1
read_only_udm.security_result.detection_fields.value
如果 cs2Label 为“sha1”,则转换为小写形式并映射到 sha1;否则,映射到 detection_fields。
cs2Label read_only_udm.security_result.detection_fields.key
cs3 read_only_udm.target.file.md5
read_only_udm.security_result.detection_fields.value
如果 cs3Label 为“md5”,则转换为小写并映射到 md5;否则映射到 detection_fields。
cs3Label read_only_udm.security_result.detection_fields.key
cs5 read_only_udm.security_result.detection_fields.value
cs5Label read_only_udm.security_result.detection_fields.key
cs6 read_only_udm.security_result.detection_fields.value
cs6Label read_only_udm.security_result.detection_fields.key
cs7 read_only_udm.security_result.detection_fields.value
cs7Label read_only_udm.security_result.detection_fields.key
cnt read_only_udm.additional.fields.value.string_value 已转换为字符串。
降序 read_only_udm.metadata.description
dst read_only_udm.target.ip
read_only_udm.target.asset.ip
dstMAC read_only_udm.target.mac 转换为小写。
dstPort read_only_udm.target.port 转换为整数。
duser read_only_udm.target.user.user_display_name
dvc read_only_udm.about.ip
dvchost read_only_udm.target.hostname
read_only_udm.target.asset.hostname
event_id read_only_udm.metadata.product_event_type 如果 event_name 不为空,则用作 product_event_type;否则单独使用。
event_name read_only_udm.metadata.product_event_type 前缀为“[event_id] - ”,并用作 product_event_type。
fileHash read_only_udm.target.file.sha256 转换为小写。
filePath read_only_udm.target.file.full_path 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。
fsize read_only_udm.target.file.size 已转换为无符号整数。
主机名 read_only_udm.target.hostname
read_only_udm.target.asset.hostname
如果目标为空,则用作主机名。
英寸 read_only_udm.network.received_bytes 已转换为无符号整数。
msg read_only_udm.security_result.description
name read_only_udm.security_result.summary
组织 read_only_udm.target.administrative_domain
read_only_udm.metadata.vendor_name
proto read_only_udm.network.ip_protocol 如果为“ICMPv6”,则替换为“ICMP”。
product_version read_only_udm.metadata.product_version
结果 read_only_udm.security_result.summary
sev read_only_udm.security_result.severity
read_only_udm.security_result.severity_details
根据其值映射到严重程度,也映射到 severity_details。
shost read_only_udm.principal.hostname
read_only_udm.principal.asset.hostname
src read_only_udm.principal.ip
read_only_udm.principal.asset.ip
srcMAC read_only_udm.principal.mac 转换为小写。
srcPort read_only_udm.principal.port 转换为整数。
suid read_only_udm.principal.user.userid
suser read_only_udm.principal.user.user_display_name
目标 read_only_udm.target.hostname
read_only_udm.target.asset.hostname
时间戳 read_only_udm.metadata.event_timestamp.seconds
read_only_udm.metadata.event_timestamp.nanos
已解析为时间戳。
TrendMicroDsBehaviorType read_only_udm.security_result.detection_fields.value
TrendMicroDsFileSHA1 read_only_udm.target.file.sha1 转换为小写。
TrendMicroDsFrameType read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTarget read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetCount read_only_udm.security_result.detection_fields.value
TrendMicroDsMalwareTargetType read_only_udm.security_result.detection_fields.value
TrendMicroDsProcess read_only_udm.security_result.detection_fields.value 将“ProgramFiles\(x86\)”替换为“Program Files (x86)”。
TrendMicroDsTenant read_only_udm.security_result.detection_fields.value
TrendMicroDsTenantId read_only_udm.security_result.detection_fields.value
usrName read_only_udm.principal.user.userid
read_only_udm.metadata.event_type 如果同时存在来源和目的地,请将其设置为“NETWORK_HTTP”,否则请将其设置为“GENERIC_EVENT”。
read_only_udm.metadata.log_type 设置为“TRENDMICRO_DEEP_SECURITY”。

变化

2024-04-17

  • 现在,解析器会将原始日志中的“event_name”映射到 UDM 中的“metadata.product_event_type”字段。
  • “act”字段现在还会映射到 UDM 中的“security_result.action_details”。

2024-03-29

  • 改进了对不同“cef_event_attributes”格式的处理。
  • 我们将多个字段映射到了新的 UDM 字段,以便更好地进行整理:
  • “log_type”现已更名为“metadata.product_name”
  • “organization”现已更名为“metadata.vendor_name”
  • 原始日志中的新字段(例如“suer”“suid”“fileHash”等)现已映射到 UDM。我们提供了映射表的链接,供您了解详情。

2024-03-23

  • 改进了“event_attributes”和“cef_event_attributes”格式的解析。
  • “name”字段现在映射到 UDM 中的“security_result.summary”。

2024-03-04

  • 添加了对解析 CEF 格式日志的支持。
  • 将原始日志中的多个字段映射到了相应的 UDM 字段,包括:
  • 将“TrendMicroDsFileSHA1”更改为“target.file.sha1”
  • “msg”更改为“security_result.description”
  • “result”更改为“security_result.summary”
  • 将“filePath”更改为“target.file.full_path”
  • 与 TrendMicro 检测相关的多个字段现在已映射到“security_result.detection_fields”。
  • 改进了根据“dvchost”或“cef_host”的可用性映射“target.hostname”字段的逻辑。

2024-02-13

  • “target”字段现在会映射到 UDM 中的“target.hostname”。
  • “usrName”字段现在映射到 UDM 中的“principal.user.userid”。

2022-09-01

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。