Mengumpulkan log Trend Micro Cloud One

Didukung di:

Ringkasan

Parser ini menangani log berformat syslog dan JSON dari Trend Micro Cloud One. Proses ini mengekstrak key-value pair dari pesan berformat LEEF, menormalisasi nilai tingkat keparahan, mengidentifikasi entitas utama dan target (IP, nama host, pengguna), serta memetakan data ke dalam skema UDM. Jika format LEEF tidak terdeteksi, parser akan mencoba memproses input sebagai JSON dan mengekstrak kolom yang relevan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda memiliki akses istimewa ke Trend Micro Cloud One.
  • Pastikan Anda memiliki host Windows 2012 SP2 atau yang lebih baru atau Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agents.
  3. Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

  1. Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

  1. Akses komputer dengan Bindplane Agent.
  2. Edit file config.yaml sebagai berikut:

    receivers:
      udplog:
        # Replace the below port <5514> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:514" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Mulai ulang Agen Bindplane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengonfigurasi Syslog dari Trend Micro Cloud One

  1. Buka Kebijakan > Objek Umum > Lainnya > Konfigurasi Syslog.
  2. Klik Baru > Konfigurasi Baru > Umum
  3. Tentukan nilai untuk parameter berikut:
    • Name: Nama unik yang mengidentifikasi konfigurasi (misalnya, server BindPlane Google SecOps).
    • Nama Server: Masukkan alamat IP Bindplane Agent.
    • Server Port: Masukkan port BindPlane Agent (misalnya, 514).
    • Transportasi: Pilih UDP.
    • Format Acara: Pilih Syslog.
    • Sertakan zona waktu dalam peristiwa: Biarkan tidak dipilih.
    • Fasilitas: Jenis proses yang akan dikaitkan dengan peristiwa.
    • Agen harus meneruskan log: Pilih server Syslog.
    • Klik Simpan.

Mengekspor peristiwa sistem di Trend Micro Cloud One

  1. Buka Administrasi > Setelan Sistem > Penerusan Peristiwa.
  2. Teruskan Peristiwa Sistem ke komputer jarak jauh (melalui Syslog) menggunakan konfigurasi, pilih konfigurasi yang dibuat pada langkah sebelumnya.
  3. Klik Simpan.

Mengekspor peristiwa keamanan di Trend Micro Cloud One

  1. Buka Kebijakan.
  2. Klik kebijakan yang digunakan oleh komputer.
  3. Buka Setelan > Penerusan Peristiwa.
  4. Frekuensi Penerusan Peristiwa (dari Agen/Perangkat): pilih Jangka waktu antara pengiriman peristiwa dan pilih seberapa sering peristiwa keamanan akan diteruskan.
  5. Konfigurasi Penerusan Peristiwa (dari Agen/Perangkat): pilih Konfigurasi Syslog Anti-Malware dan pilih konfigurasi yang dibuat pada langkah sebelumnya.
  6. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
bertindak security_result.action Jika act adalah "deny" atau "block" (tidak peka huruf besar/kecil), maka BLOCK. Jika act adalah "pass" atau "allow" (tidak peka huruf besar/kecil), maka ALLOW. Jika act adalah "update" atau "rename" (tidak peka huruf besar/kecil), maka ALLOW_WITH_MODIFICATION. Jika act adalah "karantina" (tidak peka huruf besar/kecil), maka QUARANTINE. Jika tidak, UNKNOWN_ACTION.
bertindak security_result.action_details Dipetakan secara langsung.
kucing security_result.category_details Dipetakan secara langsung.
cn1 target.asset_id Diawali dengan "ID Host:" jika cn1Label adalah "ID Host".
menurun metadata.description Dipetakan secara langsung.
dvchost target.asset.hostname Dipetakan secara langsung.
dvchost target.hostname Dipetakan secara langsung.
log_type metadata.product_name Dipetakan secara langsung.
msg security_result.description Dipetakan secara langsung.
nama security_result.summary Dipetakan secara langsung.
organisasi target.administrative_domain Dipetakan secara langsung.
proto additional.fields.key Disetel ke "Protocol" jika kolom proto tidak dapat dikonversi menjadi bilangan bulat.
proto additional.fields.value.string_value Dipetakan secara langsung jika kolom proto tidak dapat dikonversi menjadi bilangan bulat.
proto network.ip_protocol Dipetakan menggunakan logika parse_ip_protocol.include, yang mengonversi nomor protokol ke nama yang sesuai (misalnya, "6" menjadi "TCP").
product_version metadata.product_version Dipetakan secara langsung.
sev security_result.severity Jika sev adalah "0", "1", "2", "3", atau "low" (tidak peka huruf besar/kecil), maka LOW. Jika sev adalah "4", "5", "6", atau "medium" (tidak peka huruf besar/kecil), maka MEDIUM. Jika sev adalah "7", "8", atau "high" (tidak peka huruf besar/kecil), maka HIGH. Jika sev adalah "9", "10", atau "very high" (tidak peka huruf besar/kecil), maka CRITICAL.
sev security_result.severity_details Dipetakan secara langsung.
src principal.asset.hostname Dipetakan secara langsung jika bukan alamat IP yang valid.
src principal.asset.ip Dipetakan secara langsung jika merupakan alamat IP yang valid.
src principal.hostname Dipetakan secara langsung jika bukan alamat IP yang valid.
src principal.ip Dipetakan secara langsung jika merupakan alamat IP yang valid.
TrendMicroDsTenant security_result.detection_fields.key Tetapkan ke "TrendMicroDsTenant".
TrendMicroDsTenant security_result.detection_fields.value Dipetakan secara langsung.
TrendMicroDsTenantId security_result.detection_fields.key Tetapkan ke "TrendMicroDsTenantId".
TrendMicroDsTenantId security_result.detection_fields.value Dipetakan secara langsung.
usrName principal.user.userid Dipetakan secara langsung. Jika has_principal benar dan has_target benar, maka NETWORK_CONNECTION. Jika has_principal benar, maka STATUS_UPDATE. Jika has_target benar dan has_principal salah, maka USER_UNCATEGORIZED. Jika tidak, GENERIC_EVENT. Tetapkan ke AUTHTYPE_UNSPECIFIED jika event_type adalah USER_UNCATEGORIZED. Disetel ke "true" jika IP, nama host, atau alamat MAC utama diekstrak. Jika tidak, diinisialisasi ke "false". Disetel ke "true" jika IP, nama host, atau alamat MAC target diekstrak. Jika tidak, diinisialisasi ke "false". Sama dengan stempel waktu peristiwa tingkat teratas. Tetapkan ke "Trend Micro".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.