Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Trend Micro Cloud One-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser verarbeitet Syslog- und JSON-formatierte Logs von Trend Micro Cloud One. Er extrahiert Schlüssel-Wert-Paare aus LEEF-formatierten Nachrichten, normalisiert Schweregradwerte, identifiziert Haupt- und Zielentitäten (IP, Hostname, Nutzer) und ordnet die Daten dem UDM-Schema zu. Wenn das LEEF-Format nicht erkannt wird, versucht der Parser, die Eingabe als JSON zu verarbeiten und die entsprechenden Felder zu extrahieren.

Hinweis

Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
Prüfen Sie, ob Sie privilegierten Zugriff auf Trend Micro Cloud One haben.
Prüfen Sie, ob Sie einen Windows 2012 SP2- oder Linux-Host mit systemd haben.
Wenn Sie einen Proxy verwenden, prüfen Sie, ob die Firewall ports geöffnet sind.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Führen Sie für die Linux-Installation das folgende Skript aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane Agent für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Greifen Sie auf den Computer mit Bindplane Agent zu.

Bearbeiten Sie die Datei config.yaml so:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane Agent neu, um die Änderungen anzuwenden. Verwenden Sie dazu den folgenden Befehl: sudo systemctl bindplane restart

Syslog von Trend Micro Cloud One konfigurieren

Rufen Sie Richtlinien > Allgemeine Objekte > Sonstiges > Syslog-Konfigurationen auf.
Klicken Sie auf Neu > Neue Konfiguration > Allgemein
Geben Sie Werte für die folgenden Parameter an:
- Name: Eindeutiger Name zur Identifizierung der Konfiguration (z. B. Google SecOps Bindplane-Server).
- Servername: Geben Sie die IP-Adresse des Bindplane Agent ein.
- Serverport: Geben Sie den Port des Bindplane Agent ein (z. B. 514).
- Transport: Wählen Sie UDP aus.
- Ereignisformat: Wählen Sie Syslog aus.
- Zeitzone in Ereignisse einschließen: Lassen Sie die Option deaktiviert.
- Einrichtung: Art des Prozesses, mit dem Ereignisse verknüpft werden.
- Agents sollten Logs weiterleiten: Wählen Sie den Syslog-Server aus.
- Klicken Sie auf Speichern.

Systemereignisse in Trend Micro Cloud One exportieren

Rufen Sie Verwaltung > Systemeinstellungen > Ereignisweiterleitung auf.
Wählen Sie unter Systemereignisse an einen Remotecomputer weiterleiten (über Syslog) die im vorherigen Schritt erstellte Konfiguration aus.
Klicken Sie auf Speichern.

Sicherheitsereignisse in Trend Micro Cloud One exportieren

Rufen Sie Richtlinien auf.
Klicken Sie auf die Richtlinie, die von den Computern verwendet wird.
Rufen Sie Einstellungen > Ereignisweiterleitung auf.
Häufigkeit der Ereignisweiterleitung (vom Agent/von der Appliance): Wählen Sie unter Zeitraum zwischen dem Senden von Ereignissen die Option aus und legen Sie fest, wie oft die Sicherheitsereignisse weitergeleitet werden sollen.
Wählen Sie unter Konfiguration der Ereignisweiterleitung (vom Agent/von der Appliance) die Option Syslog-Konfiguration für Antimalware aus und wählen Sie die im vorherigen Schritt erstellte Konfiguration aus.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
act	`security_result.action`	Wenn `act` „deny“ oder „block“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `BLOCK`. Wenn `act` „pass“ oder „allow“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `ALLOW`. Wenn `act` „update“ oder „rename“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `ALLOW_WITH_MODIFICATION`. Wenn `act` „quarantine“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `QUARANTINE`. Andernfalls `UNKNOWN_ACTION`.
act	`security_result.action_details`	Direkt zugeordnet.
cat	`security_result.category_details`	Direkt zugeordnet.
cn1	`target.asset_id`	Mit „Host-ID:“ vorangestellt, wenn `cn1Label` „Host-ID“ ist.
desc	`metadata.description`	Direkt zugeordnet.
dvchost	`target.asset.hostname`	Direkt zugeordnet.
dvchost	`target.hostname`	Direkt zugeordnet.
log_type	`metadata.product_name`	Direkt zugeordnet.
msg	`security_result.description`	Direkt zugeordnet.
name	`security_result.summary`	Direkt zugeordnet.
organization	`target.administrative_domain`	Direkt zugeordnet.
proto	`additional.fields.key`	Auf „Protocol“ festgelegt, wenn das Feld `proto` nicht in eine Ganzzahl konvertiert werden kann.
proto	`additional.fields.value.string_value`	Direkt zugeordnet, wenn das Feld `proto` nicht in eine Ganzzahl konvertiert werden kann.
proto	`network.ip_protocol`	Mit der Logik `parse_ip_protocol.include` zugeordnet, die die Protokollnummer in den entsprechenden Namen konvertiert (z.B. wird aus „6“ „TCP“).
product_version	`metadata.product_version`	Direkt zugeordnet.
sev	`security_result.severity`	Wenn `sev` „0“, „1“, „2“, „3“ oder „low“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `LOW`. Wenn `sev` „4“, „5“, „6“ oder „medium“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `MEDIUM`. Wenn `sev` „7“, „8“ oder „high“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `HIGH`. Wenn `sev` „9“, „10“ oder „very high“ ist (ohne Beachtung der Groß- und Kleinschreibung), dann `CRITICAL`.
sev	`security_result.severity_details`	Direkt zugeordnet.
src	`principal.asset.hostname`	Direkt zugeordnet, wenn es keine gültige IP-Adresse ist.
src	`principal.asset.ip`	Direkt zugeordnet, wenn es eine gültige IP-Adresse ist.
src	`principal.hostname`	Direkt zugeordnet, wenn es keine gültige IP-Adresse ist.
src	`principal.ip`	Direkt zugeordnet, wenn es eine gültige IP-Adresse ist.
TrendMicroDsTenant	`security_result.detection_fields.key`	Auf „TrendMicroDsTenant“ festgelegt.
TrendMicroDsTenant	`security_result.detection_fields.value`	Direkt zugeordnet.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Auf „TrendMicroDsTenantId“ festgelegt.
TrendMicroDsTenantId	`security_result.detection_fields.value`	Direkt zugeordnet.
usrName	`principal.user.userid`	Direkt zugeordnet. Wenn `has_principal` und `has_target` „true“ sind, dann `NETWORK_CONNECTION`. Wenn `has_principal` „true“ ist, dann `STATUS_UPDATE`. Wenn `has_target` „true“ und `has_principal` „false“ ist, dann `USER_UNCATEGORIZED`. Andernfalls `GENERIC_EVENT`. Auf `AUTHTYPE_UNSPECIFIED` festgelegt, wenn `event_type` `USER_UNCATEGORIZED` ist. Auf „true“ festgelegt, wenn eine Haupt-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls auf „false“ initialisiert. Auf „true“ festgelegt, wenn eine Ziel-IP-Adresse, ein Hostname oder eine MAC-Adresse extrahiert wird. Andernfalls auf „false“ initialisiert. Entspricht dem Zeitstempel des Ereignisses auf oberster Ebene. Auf „Trend Micro“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten