Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Trend Micro Apex One

Compatível com:

Google SecOps SIEM

Este documento explica como coletar os registros do Trend Micro Apex One. O analisador extrai dados de mensagens syslog, especificamente aquelas formatadas com pares de chave-valor e prefixadas com CEF:. Ele usa expressões regulares e lógica condicional para mapear campos CEF para a UDM, categorizando eventos com base na presença de informações do usuário ou do sistema e identificando a plataforma do sistema operacional. As mensagens não formatadas em CEF são descartadas.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Windows 2016 ou mais recente ou um host Linux com systemd
Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
Confirme se você tem acesso administrativo ao console do Apex Central.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

    receivers:
      udplog:
        # Using high port to avoid requiring root privileges
        listen_address: "0.0.0.0:514"

    exporters:
        chronicle/awx:
          endpoint: malachiteingestion-pa.googleapis.com
          creds_file_path: '/path/to/ingestion-authentication-file.json'
          customer_id: YOUR_CUSTOMER_ID
          log_type: 'TRENDMICRO_APEX_ONE'
          raw_log_field: body

    service:
        pipelines:
          logs/awx:
              receivers:
                - udplog
              exporters:
                - chronicle/awx

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o encaminhamento de syslog no Trend Micro Apex One

Faça login no console do Apex Central usando suas credenciais de administrador:
Acesse Administração > Configurações > Configurações do Syslog.
Marque a caixa Ativar encaminhamento de syslog.
Configure os detalhes do servidor Syslog:
- Endereço do servidor: insira o endereço IP ou o FQDN do agente do Bindplane.
- Porta: insira o número da porta do agente Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP como o protocolo de transmissão.
- Opcional: Configurar configurações de proxy: marque "Usar um servidor proxy SOCKS".
  
  Observação: verifique se as configurações de proxy estão definidas em Administração > Configurações > Configurações de proxy.
- Formato do registro: selecione CEF.
- Frequência: defina a frequência com que os registros são encaminhados ao servidor Syslog.
- Tipo de registro: selecione Registros de segurança e Informações do produto.
Clique em Testar conexão para garantir que o Apex Central possa se comunicar com o servidor Syslog (Bindplane).
Clique em Salvar para aplicar as configurações.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`act`	`security_result.action_details`	Mapeado diretamente do campo `act`.
`ApexCentralHost`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado ao campo `deviceExternalId`.
`app`	`target.port`	Mapeado diretamente do campo `app`.
`cat`	`security_result.category_details`	Mapeado diretamente do campo `cat`.
`cn1`	`additional.fields[4].value.string_value`	Mapeado diretamente do campo `cn1`. A chave é derivada de `cn1Label`.
`cn1Label`	`additional.fields[4].key`	Mapeado diretamente do campo `cn1Label`.
`cn2`	`additional.fields[6].value.string_value`	Mapeado diretamente do campo `cn2`. A chave é derivada de `cn2Label`.
`cn2Label`	`additional.fields[6].key`	Mapeado diretamente do campo `cn2Label`.
`cn3`	`additional.fields[2].value.string_value`	Mapeado diretamente do campo `cn3`. A chave é derivada de `cn3Label`.
`cn3Label`	`additional.fields[2].key`	Mapeado diretamente do campo `cn3Label`.
`cs1`	`additional.fields[0].value.string_value`	Mapeado diretamente do campo `cs1`. A chave é derivada de `cs1Label`.
`cs1Label`	`additional.fields[0].key`	Mapeado diretamente do campo `cs1Label`.
`cs2`	`additional.fields[1].value.string_value`	Mapeado diretamente do campo `cs2`. A chave é derivada de `cs2Label`.
`cs2Label`	`additional.fields[1].key`	Mapeado diretamente do campo `cs2Label`.
`cs3`	`additional.fields[5].value.string_value`	Mapeado diretamente do campo `cs3`. A chave é derivada de `cs3Label`.
`cs3Label`	`additional.fields[5].key`	Mapeado diretamente do campo `cs3Label`.
`cs4`	`additional.fields[0].value.string_value`	Mapeado diretamente do campo `cs4`. A chave é derivada de `cs4Label`.
`cs4Label`	`additional.fields[0].key`	Mapeado diretamente do campo `cs4Label`.
`cs5`	`additional.fields[2].value.string_value`	Mapeado diretamente do campo `cs5`. A chave é derivada de `cs5Label`.
`cs5Label`	`additional.fields[2].key`	Mapeado diretamente do campo `cs5Label`.
`cs6`	`additional.fields[7].value.string_value`	Mapeado diretamente do campo `cs6`. A chave é derivada de `cs6Label`.
`cs6Label`	`additional.fields[7].key`	Mapeado diretamente do campo `cs6Label`.
`deviceExternalId`	`about.asset.asset_id`	Usado como parte da lógica de geração de asset_id. O valor "Trend Micro.Apex Central:" é adicionado a esse campo.
`deviceNtDomain`	`about.administrative_domain`	Mapeado diretamente do campo `deviceNtDomain`.
`devicePayloadId`	`additional.fields[3].value.string_value`	Mapeado diretamente do campo `devicePayloadId`. A chave é codificada como "devicePayloadId".
`deviceProcessName`	`about.process.command_line`	Mapeado diretamente do campo `deviceProcessName`.
`dhost`	`target.hostname`	Mapeado diretamente do campo `dhost`.
`dntdom`	`target.administrative_domain`	Mapeado diretamente do campo `dntdom`.
`dst`	`target.ip`	Mapeado diretamente do campo `dst`.
`duser`	`target.user.userid`, `target.user.user_display_name`	Mapeado diretamente do campo `duser`.
`dvchost`	`about.hostname`	Mapeado diretamente do campo `dvchost`.
`fileHash`	`about.file.full_path`	Mapeado diretamente do campo `fileHash`.
`fname`	`additional.fields[9].value.string_value`	Mapeado diretamente do campo `fname`. A chave é fixada no código como "fname".
`message`	`metadata.product_event_type`	O cabeçalho CEF é extraído do campo da mensagem.
`request`	`target.url`	Mapeado diretamente do campo `request`.
`rt`	`metadata.event_timestamp`	Mapeado diretamente do campo `rt`.
`shost`	`principal.hostname`	Mapeado diretamente do campo `shost`.
`src`	`principal.ip`	Mapeado diretamente do campo `src`.
`TMCMdevicePlatform`	`principal.platform`	Mapeamento com base na lógica do analisador. Os valores são normalizados como "WINDOWS", "MAC" ou "LINUX".
`TMCMLogDetectedHost`	`principal.hostname`	Mapeado diretamente do campo `TMCMLogDetectedHost`.
`TMCMLogDetectedIP`	`principal.ip`	Mapeado diretamente do campo `TMCMLogDetectedIP`. Derivado da lógica do analisador com base na presença de outros campos. Os valores possíveis são "USER_UNCATEGORIZED", "STATUS_UPDATE" ou "GENERIC_EVENT". Fixado no código como "TRENDMICRO_APEX_ONE". Fixado no código como "TRENDMICRO_APEX_ONE". Extraído do cabeçalho CEF no campo `message`. Fixado no código como "LOW".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.