Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Trend Micro Apex One

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Trend Micro Apex One dans Google Security Operations à l'aide de l'agent Bindplane.

Trend Micro Apex One est une plate-forme de sécurité des points de terminaison qui génère des messages syslog au format CEF pour les détections de logiciels malveillants, les événements de prévention des intrusions, l'activité suspecte des fichiers, les verdicts de réputation Web et les événements de contrôle des appareils. L'analyseur extrait les champs des journaux au format CEF et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Trend Micro Apex Central
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès administrateur à la console Apex Central

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification pour l'ingestion. Enregistrez-le de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/trendmicro_apex_one:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: TRENDMICRO_APEX_ONE
        raw_log_field: body

service:
    pipelines:
        logs/trendmicro_apex_one_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/trendmicro_apex_one

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez le collecteur observIQ OpenTelemetry.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog dans Trend Micro Apex One

Connectez-vous à la console Apex Central à l'aide d'identifiants d'administrateur.
Accédez à Administration > Paramètres > Paramètres Syslog.
Cochez la case Activer le transfert syslog.
Configurez les détails du serveur Syslog :
- Adresse du serveur : saisissez l'adresse IP ou le nom de domaine complet de l'agent Bindplane.
- Port : saisissez le numéro de port de l'agent Bindplane (par exemple, 514 pour UDP).
- Protocole : sélectionnez UDP comme protocole de transmission.
Facultatif : Configurer les paramètres proxy : cochez la case Utiliser un serveur proxy SOCKS (assurez-vous que les paramètres proxy sont configurés sous Administration > Paramètres > Paramètres proxy).
Format du journal : sélectionnez CEF.
Fréquence : définissez la fréquence à laquelle les journaux sont transférés vers le serveur Syslog.
Type de journal : sélectionnez Journaux de sécurité et Informations produit.
Cliquez sur Test Connection (Tester la connexion) pour vous assurer qu'Apex Central peut communiquer avec le serveur Syslog.
Cliquez sur Enregistrer pour appliquer les paramètres.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`act`	`security_result.action_details`	Mappé directement à partir du champ `act`.
`ApexCentralHost`	`about.asset.asset_id`	Utilisé dans la logique de génération de l'asset_id. La valeur "Trend Micro.Apex Central:" est ajoutée au début du champ `deviceExternalId`.
`app`	`target.port`	Mappé directement à partir du champ `app`.
`cat`	`security_result.category_details`	Mappé directement à partir du champ `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mappé directement à partir du champ `cn1`. La clé est dérivée de `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mappé directement à partir du champ `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mappé directement à partir du champ `cn2`. La clé est dérivée de `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mappé directement à partir du champ `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mappé directement à partir du champ `cn3`. La clé est dérivée de `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mappé directement à partir du champ `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mappé directement à partir du champ `cs1`. La clé est dérivée de `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mappé directement à partir du champ `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mappé directement à partir du champ `cs2`. La clé est dérivée de `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mappé directement à partir du champ `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mappé directement à partir du champ `cs3`. La clé est dérivée de `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mappé directement à partir du champ `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mappé directement à partir du champ `cs4`. La clé est dérivée de `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mappé directement à partir du champ `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mappé directement à partir du champ `cs5`. La clé est dérivée de `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mappé directement à partir du champ `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mappé directement à partir du champ `cs6`. La clé est dérivée de `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mappé directement à partir du champ `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Utilisé dans la logique de génération de l'asset_id. La valeur "Trend Micro.Apex Central:" est ajoutée au début de ce champ.
`deviceNtDomain`	`about.administrative_domain`	Mappé directement à partir du champ `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mappé directement à partir du champ `devicePayloadId`. La clé est codée en dur sous la forme "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mappé directement à partir du champ `deviceProcessName`.
`dhost`	`target.hostname`	Mappé directement à partir du champ `dhost`.
`dntdom`	`target.administrative_domain`	Mappé directement à partir du champ `dntdom`.
`dst`	`target.ip`	Mappé directement à partir du champ `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mappé directement à partir du champ `duser`.
`dvchost`	`about.hostname`	Mappé directement à partir du champ `dvchost`.
`fileHash`	`about.file.full_path`	Mappé directement à partir du champ `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mappé directement à partir du champ `fname`. La clé est codée en dur sous la forme "fname".
`message`	`metadata.product_event_type`	L'en-tête CEF est extrait du champ de message.
`request`	`target.url`	Mappé directement à partir du champ `request`.
`rt`	`metadata.event_timestamp`	Mappé directement à partir du champ `rt`.
`shost`	`principal.hostname`	Mappé directement à partir du champ `shost`.
`src`	`principal.ip`	Mappé directement à partir du champ `src`.
`TMCMdevicePlatform`	`principal.platform`	Mappé en fonction de la logique du parseur. Les valeurs sont normalisées sur "WINDOWS", "MAC" ou "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mappé directement à partir du champ `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mappé directement à partir du champ `TMCMLogDetectedIP`. Dérivé de la logique de l'analyseur en fonction de la présence d'autres champs. Les valeurs possibles sont "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Codé en dur sur "TRENDMICRO_APEX_ONE". Codé en dur sur "TRENDMICRO_APEX_ONE". Extrait de l'en-tête CEF dans le champ `message`. Codé en dur sur "LOW".

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.