Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Trend Micro Apex One

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Trend Micro Apex One no Google Security Operations usando o agente do Bindplane.

O Trend Micro Apex One é uma plataforma de segurança de endpoint que gera mensagens syslog formatadas em CEF para detecções de malware, eventos de prevenção de intrusão, atividades suspeitas de arquivos, veredictos de reputação da Web e eventos de controle de dispositivos. O analisador extrai campos de registros formatados em CEF e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o servidor do Trend Micro Apex Central
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso de administrador ao console do Apex Central

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/trendmicro_apex_one:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: TRENDMICRO_APEX_ONE
        raw_log_field: body

service:
    pipelines:
        logs/trendmicro_apex_one_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/trendmicro_apex_one

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz).
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento do syslog no Trend Micro Apex One

Faça login no console do Apex Central usando credenciais de administrador.
Acesse Administração > Configurações > Configurações do Syslog.
Marque a caixa Ativar encaminhamento de syslog.
Configure os Detalhes do servidor Syslog:
- Endereço do servidor: insira o endereço IP ou o FQDN do agente do Bindplane.
- Porta: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP como o protocolo de transmissão.
Opcional: Configurar configurações de proxy: marque Usar um servidor proxy SOCKS. Verifique se as configurações de proxy estão configuradas em Administração > Configurações > Configurações de proxy.
Formato do registro: selecione CEF.
Frequência: defina a frequência com que os registros são encaminhados ao servidor Syslog.
Tipo de registro: selecione Registros de segurança e Informações do produto.
Clique em Testar conexão para garantir que o Apex Central possa se comunicar com o servidor Syslog.
Clique em Salvar para aplicar as configurações.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`act`	`security_result.action_details`	Mapeado diretamente do campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado ao campo `deviceExternalId`.
`app`	`target.port`	Mapeado diretamente do campo `app`.
`cat`	`security_result.category_details`	Mapeado diretamente do campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mapeado diretamente do campo `cn1`. A chave é derivada de `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mapeado diretamente do campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mapeado diretamente do campo `cn2`. A chave é derivada de `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mapeado diretamente do campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mapeado diretamente do campo `cn3`. A chave é derivada de `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mapeado diretamente do campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mapeado diretamente do campo `cs1`. A chave é derivada de `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mapeado diretamente do campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mapeado diretamente do campo `cs2`. A chave é derivada de `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mapeado diretamente do campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mapeado diretamente do campo `cs3`. A chave é derivada de `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mapeado diretamente do campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mapeado diretamente do campo `cs4`. A chave é derivada de `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mapeado diretamente do campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mapeado diretamente do campo `cs5`. A chave é derivada de `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mapeado diretamente do campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mapeado diretamente do campo `cs6`. A chave é derivada de `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mapeado diretamente do campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado a esse campo.
`deviceNtDomain`	`about.administrative_domain`	Mapeado diretamente do campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mapeado diretamente do campo `devicePayloadId`. A chave é codificada como "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mapeado diretamente do campo `deviceProcessName`.
`dhost`	`target.hostname`	Mapeado diretamente do campo `dhost`.
`dntdom`	`target.administrative_domain`	Mapeado diretamente do campo `dntdom`.
`dst`	`target.ip`	Mapeado diretamente do campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mapeado diretamente do campo `duser`.
`dvchost`	`about.hostname`	Mapeado diretamente do campo `dvchost`.
`fileHash`	`about.file.full_path`	Mapeado diretamente do campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mapeado diretamente do campo `fname`. A chave é fixada no código como "fname".
`message`	`metadata.product_event_type`	O cabeçalho CEF é extraído do campo da mensagem.
`request`	`target.url`	Mapeado diretamente do campo `request`.
`rt`	`metadata.event_timestamp`	Mapeado diretamente do campo `rt`.
`shost`	`principal.hostname`	Mapeado diretamente do campo `shost`.
`src`	`principal.ip`	Mapeado diretamente do campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mapeamento com base na lógica do analisador. Os valores são normalizados como "WINDOWS", "MAC" ou "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mapeado diretamente do campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mapeado diretamente do campo `TMCMLogDetectedIP`. Derivado da lógica do analisador com base na presença de outros campos. Os valores possíveis são "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Fixado no código como "TRENDMICRO_APEX_ONE". Fixado no código como "TRENDMICRO_APEX_ONE". Extraído do cabeçalho CEF no campo `message`. Fixado no código como "LOW".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.