Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Trend Micro Cloud One

Compatible avec :

Google secops SIEM

Cet analyseur gère les journaux au format Syslog et JSON de Trend Micro Cloud One. Il extrait les paires clé-valeur des messages au format LEEF, normalise les valeurs de gravité, identifie les entités principales et cibles (adresse IP, nom d'hôte, utilisateur) et mappe les données dans le schéma UDM. Si le format LEEF n'est pas détecté, l'analyseur tente de traiter l'entrée au format JSON et d'extraire les champs pertinents en conséquence.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous de disposer d'un accès privilégié à Trend Micro Cloud One.
Assurez-vous de disposer d'un hôte Windows 2012 SP2 ou version ultérieure, ou d'un hôte Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings (Paramètres SIEM) > Collection Agents (Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings (Paramètres SIEM) > Profile (Profil).
Copiez et enregistrez l'ID client dans la section Organization Details (Informations sur l'organisation).

Installer l'agent Bindplane

Pour l'installation sous Windows, exécutez le script suivant : msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Pour l'installation sous Linux, exécutez le script suivant : sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Vous trouverez d'autres options d'installation dans ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez à la machine avec l'agent Bindplane.

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Redémarrez l'agent Bindplane pour appliquer les modifications à l'aide de la commande suivante : sudo systemctl bindplane restart

Configurer Syslog à partir de Trend Micro Cloud One

Accédez à Policies (Règles) > Common Objects (Objets communs) > Other (Autre) > Syslog Configurations (Configurations Syslog).
Cliquez sur New (Nouveau) > New Configuration (Nouvelle configuration) > General (Général).
Spécifiez les valeurs des paramètres suivants :
- Name (Nom) : nom unique qui identifie la configuration (par exemple, Google SecOps BindPlance server).
- Server Name (Nom du serveur) : saisissez l'adresse IP de l'agent Bindplane.
- Server Port (Port du serveur) : saisissez le port de l'agent Bindplane (par exemple, 514).
- Transport (Transport) : sélectionnez UDP.
- Event Format (Format d'événement) : sélectionnez Syslog.
- Include time zone in events (Inclure le fuseau horaire dans les événements) : laissez l'option désélectionnée.
- Facility (Installation) : type de processus auquel les événements seront associés.
- Agents should forward logs (Les agents doivent transférer les journaux) : sélectionnez le serveur Syslog.
- Cliquez sur Save (Enregistrer).

Exporter les événements système dans Trend Micro Cloud One

Accédez à Administration > System Settings > Event Forwarding.
Forward System Events to a remote computer (Transférer les événements système vers un ordinateur distant) (via Syslog) à l'aide de la configuration, sélectionnez la configuration créée à l'étape précédente.
Cliquez sur Save (Enregistrer).

Exporter les événements de sécurité dans Trend Micro Cloud One

Accédez à Policies (Règles).
Cliquez sur la règle utilisée par les ordinateurs.
Accédez à Settings (Paramètres) > Event Forwarding (Transfert d'événements).
Event Forwarding Frequency (from the Agent/Appliance) (Fréquence de transfert d'événements [à partir de l'agent/de l'appliance]) : choisissez Period between sending of events (Période entre l'envoi d'événements) et sélectionnez la fréquence à laquelle les événements de sécurité seront transférés.
Event Forwarding Configuration (from the Agent/Appliance) (Configuration du transfert d'événements [à partir de l'agent/de l'appliance]) : choisissez Anti-Malware Syslog Configuration (Configuration Syslog anti-logiciel malveillant) et sélectionnez la configuration créée à l'étape précédente.
Cliquez sur Save (Enregistrer).

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
agir	`security_result.action`	Si `act` est "deny" (refuser) ou "block" (bloquer) (sans tenir compte de la casse), alors `BLOCK`. Si `act` est "pass" (passer) ou "allow" (autoriser) (sans tenir compte de la casse), alors `ALLOW`. Si `act` est "update" (mettre à jour) ou "rename" (renommer) (sans tenir compte de la casse), alors `ALLOW_WITH_MODIFICATION`. Si `act` est "quarantine" (mettre en quarantaine) (sans tenir compte de la casse), alors `QUARANTINE`. Sinon, `UNKNOWN_ACTION`.
agir	`security_result.action_details`	Mappé directement.
cat	`security_result.category_details`	Mappé directement.
cn1	`target.asset_id`	Préfixé par "Host Id:" si `cn1Label` est "Host ID".
décroiss.	`metadata.description`	Mappé directement.
dvchost	`target.asset.hostname`	Mappé directement.
dvchost	`target.hostname`	Mappé directement.
log_type	`metadata.product_name`	Mappé directement.
msg	`security_result.description`	Mappé directement.
nom	`security_result.summary`	Mappé directement.
organisation	`target.administrative_domain`	Mappé directement.
proto	`additional.fields.key`	Défini sur "Protocol" si le champ `proto` ne peut pas être converti en entier.
proto	`additional.fields.value.string_value`	Mappé directement si le champ `proto` ne peut pas être converti en entier.
proto	`network.ip_protocol`	Mappé à l'aide de la logique `parse_ip_protocol.include`, qui convertit le numéro de protocole en nom correspondant (par exemple, "6" devient "TCP").
product_version	`metadata.product_version`	Mappé directement.
sev	`security_result.severity`	Si `sev` est "0", "1", "2", "3" ou "low" (faible) (sans tenir compte de la casse), alors `LOW`. Si `sev` est "4", "5", "6" ou "medium" (moyen) (sans tenir compte de la casse), alors `MEDIUM`. Si `sev` est "7", "8" ou "high" (élevé) (sans tenir compte de la casse), alors `HIGH`. Si `sev` est "9", "10" ou "very high" (très élevé) (sans tenir compte de la casse), alors `CRITICAL`.
sev	`security_result.severity_details`	Mappé directement.
src	`principal.asset.hostname`	Mappé directement s'il ne s'agit pas d'une adresse IP valide.
src	`principal.asset.ip`	Mappé directement s'il s'agit d'une adresse IP valide.
src	`principal.hostname`	Mappé directement s'il ne s'agit pas d'une adresse IP valide.
src	`principal.ip`	Mappé directement s'il s'agit d'une adresse IP valide.
TrendMicroDsTenant	`security_result.detection_fields.key`	Défini sur "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Mappé directement.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Défini sur "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Mappé directement.
usrName	`principal.user.userid`	Mappé directement. Si `has_principal` est "true" et `has_target` est "true", alors `NETWORK_CONNECTION`. Sinon, si `has_principal` est "true", alors `STATUS_UPDATE`. Sinon, si `has_target` est "true" et `has_principal` est "false", alors `USER_UNCATEGORIZED`. Sinon, `GENERIC_EVENT`. Défini sur `AUTHTYPE_UNSPECIFIED` si `event_type` est `USER_UNCATEGORIZED`. Défini sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC principale sont extraits. Sinon, initialisé sur "false". Défini sur "true" si une adresse IP, un nom d'hôte ou une adresse MAC cible sont extraits. Sinon, initialisé sur "false". Identique à l'horodatage de l'événement de premier niveau. Défini sur "Trend Micro".

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.