Mengumpulkan log Trend Micro Cloud One
Ringkasan
Parser ini menangani log berformat syslog dan JSON dari Trend Micro Cloud One. Proses ini mengekstrak key-value pair dari pesan berformat LEEF, menormalisasi nilai tingkat keparahan, mengidentifikasi entitas utama dan target (IP, nama host, pengguna), serta memetakan data ke dalam skema UDM. Jika format LEEF tidak terdeteksi, parser akan mencoba memproses input sebagai JSON dan mengekstrak kolom yang relevan.
Sebelum memulai
- Pastikan Anda memiliki instance Google SecOps.
- Pastikan Anda memiliki akses istimewa ke Trend Micro Cloud One.
- Pastikan Anda memiliki host Windows 2012 SP2 atau yang lebih baru atau Linux dengan systemd.
- Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
- Download File Autentikasi Penyerapan.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen Bindplane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps
- Akses komputer dengan Bindplane Agent.
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the below port <5514> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Mulai ulang Agen Bindplane untuk menerapkan perubahan menggunakan perintah berikut:
sudo systemctl bindplane restart
Mengonfigurasi Syslog dari Trend Micro Cloud One
- Buka Kebijakan > Objek Umum > Lainnya > Konfigurasi Syslog.
- Klik Baru > Konfigurasi Baru > Umum
- Tentukan nilai untuk parameter berikut:
- Name: Nama unik yang mengidentifikasi konfigurasi (misalnya, server BindPlane Google SecOps).
- Nama Server: Masukkan alamat IP Bindplane Agent.
- Server Port: Masukkan port BindPlane Agent (misalnya, 514).
- Transportasi: Pilih UDP.
- Format Acara: Pilih Syslog.
- Sertakan zona waktu dalam peristiwa: Biarkan tidak dipilih.
- Fasilitas: Jenis proses yang akan dikaitkan dengan peristiwa.
- Agen harus meneruskan log: Pilih server Syslog.
- Klik Simpan.
Mengekspor peristiwa sistem di Trend Micro Cloud One
- Buka Administrasi > Setelan Sistem > Penerusan Peristiwa.
- Teruskan Peristiwa Sistem ke komputer jarak jauh (melalui Syslog) menggunakan konfigurasi, pilih konfigurasi yang dibuat pada langkah sebelumnya.
- Klik Simpan.
Mengekspor peristiwa keamanan di Trend Micro Cloud One
- Buka Kebijakan.
- Klik kebijakan yang digunakan oleh komputer.
- Buka Setelan > Penerusan Peristiwa.
- Frekuensi Penerusan Peristiwa (dari Agen/Perangkat): pilih Jangka waktu antara pengiriman peristiwa dan pilih seberapa sering peristiwa keamanan akan diteruskan.
- Konfigurasi Penerusan Peristiwa (dari Agen/Perangkat): pilih Konfigurasi Syslog Anti-Malware dan pilih konfigurasi yang dibuat pada langkah sebelumnya.
- Klik Simpan.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
bertindak | security_result.action |
Jika act adalah "deny" atau "block" (tidak peka huruf besar/kecil), maka BLOCK . Jika act adalah "pass" atau "allow" (tidak peka huruf besar/kecil), maka ALLOW . Jika act adalah "update" atau "rename" (tidak peka huruf besar/kecil), maka ALLOW_WITH_MODIFICATION . Jika act adalah "karantina" (tidak peka huruf besar/kecil), maka QUARANTINE . Jika tidak, UNKNOWN_ACTION . |
bertindak | security_result.action_details |
Dipetakan secara langsung. |
kucing | security_result.category_details |
Dipetakan secara langsung. |
cn1 | target.asset_id |
Diawali dengan "ID Host:" jika cn1Label adalah "ID Host". |
menurun | metadata.description |
Dipetakan secara langsung. |
dvchost | target.asset.hostname |
Dipetakan secara langsung. |
dvchost | target.hostname |
Dipetakan secara langsung. |
log_type | metadata.product_name |
Dipetakan secara langsung. |
msg | security_result.description |
Dipetakan secara langsung. |
nama | security_result.summary |
Dipetakan secara langsung. |
organisasi | target.administrative_domain |
Dipetakan secara langsung. |
proto | additional.fields.key |
Disetel ke "Protocol" jika kolom proto tidak dapat dikonversi menjadi bilangan bulat. |
proto | additional.fields.value.string_value |
Dipetakan secara langsung jika kolom proto tidak dapat dikonversi menjadi bilangan bulat. |
proto | network.ip_protocol |
Dipetakan menggunakan logika parse_ip_protocol.include , yang mengonversi nomor protokol ke nama yang sesuai (misalnya, "6" menjadi "TCP"). |
product_version | metadata.product_version |
Dipetakan secara langsung. |
sev | security_result.severity |
Jika sev adalah "0", "1", "2", "3", atau "low" (tidak peka huruf besar/kecil), maka LOW . Jika sev adalah "4", "5", "6", atau "medium" (tidak peka huruf besar/kecil), maka MEDIUM . Jika sev adalah "7", "8", atau "high" (tidak peka huruf besar/kecil), maka HIGH . Jika sev adalah "9", "10", atau "very high" (tidak peka huruf besar/kecil), maka CRITICAL . |
sev | security_result.severity_details |
Dipetakan secara langsung. |
src | principal.asset.hostname |
Dipetakan secara langsung jika bukan alamat IP yang valid. |
src | principal.asset.ip |
Dipetakan secara langsung jika merupakan alamat IP yang valid. |
src | principal.hostname |
Dipetakan secara langsung jika bukan alamat IP yang valid. |
src | principal.ip |
Dipetakan secara langsung jika merupakan alamat IP yang valid. |
TrendMicroDsTenant | security_result.detection_fields.key |
Tetapkan ke "TrendMicroDsTenant". |
TrendMicroDsTenant | security_result.detection_fields.value |
Dipetakan secara langsung. |
TrendMicroDsTenantId | security_result.detection_fields.key |
Tetapkan ke "TrendMicroDsTenantId". |
TrendMicroDsTenantId | security_result.detection_fields.value |
Dipetakan secara langsung. |
usrName | principal.user.userid |
Dipetakan secara langsung. Jika has_principal benar dan has_target benar, maka NETWORK_CONNECTION . Jika has_principal benar, maka STATUS_UPDATE . Jika has_target benar dan has_principal salah, maka USER_UNCATEGORIZED . Jika tidak, GENERIC_EVENT . Tetapkan ke AUTHTYPE_UNSPECIFIED jika event_type adalah USER_UNCATEGORIZED . Disetel ke "true" jika IP, nama host, atau alamat MAC utama diekstrak. Jika tidak, diinisialisasi ke "false". Disetel ke "true" jika IP, nama host, atau alamat MAC target diekstrak. Jika tidak, diinisialisasi ke "false". Sama dengan stempel waktu peristiwa tingkat teratas. Tetapkan ke "Trend Micro". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.