Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Trend Micro Cloud One

Didukung di:

Google secops SIEM

Parser ini menangani log berformat syslog dan JSON dari Trend Micro Cloud One. Parser ini mengekstrak key-value pair dari pesan berformat LEEF, menormalkan nilai keparahan, mengidentifikasi entitas utama dan target (IP, nama host, pengguna), serta memetakan data ke dalam skema UDM. Jika format LEEF tidak terdeteksi, parser akan mencoba memproses input sebagai JSON dan mengekstrak kolom yang relevan.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda memiliki akses istimewa ke Trend Micro Cloud One.
Pastikan Anda memiliki host Windows 2012 SP2 atau yang lebih baru atau Linux dengan systemd.
Jika beroperasi dari balik proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download Ingestion Authentication File.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses mesin dengan Agen Bindplane.

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the below port <5514> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:514" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen Bindplane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengonfigurasi Syslog dari Trend Micro Cloud One

Buka Policies > Common Objects > Other > Syslog Configurations.
Klik New > New Configuration > General
Tentukan nilai untuk parameter berikut:
- Nama: Nama unik yang mengidentifikasi konfigurasi (misalnya, Google SecOps BindPlance server).
- Nama Server: Masukkan alamat IP Agen Bindplane.
- Server Port: Masukkan port Agen Bindplane (misalnya, 514).
- Transport: Pilih UDP.
- Format Peristiwa: Pilih Syslog.
- Sertakan zona waktu dalam acara: Biarkan tidak dipilih.
- Facility: Jenis proses yang akan dikaitkan dengan peristiwa.
- Agen harus meneruskan log: Pilih server Syslog.
- Klik Save.

Mengekspor peristiwa sistem di Trend Micro Cloud One

Buka Administration > System Settings > Event Forwarding.
Forward System Events to a remote computer (via Syslog) menggunakan konfigurasi, pilih konfigurasi yang dibuat pada langkah sebelumnya.
Klik Save.

Mengekspor peristiwa keamanan di Trend Micro Cloud One

Buka Policies.
Klik kebijakan yang digunakan oleh komputer.
Buka Settings > Event Forwarding.
Frekuensi Penerusan Peristiwa (dari Agen/Perangkat): pilih Periode antara pengiriman peristiwa dan pilih seberapa sering peristiwa keamanan akan diteruskan.
Event Forwarding Configuration (from the Agent/Appliance): pilih Anti-Malware Syslog Configuration dan pilih konfigurasi yang dibuat pada langkah sebelumnya.
Klik Save.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
act	`security_result.action`	Jika `act` adalah "deny" atau "block" (tidak peka huruf besar/kecil), maka `BLOCK`. Jika `act` adalah "pass" atau "allow" (tidak peka huruf besar/kecil), maka `ALLOW`. Jika `act` adalah "update" atau "rename" (tidak peka huruf besar/kecil), maka `ALLOW_WITH_MODIFICATION`. Jika `act` adalah "quarantine" (tidak peka huruf besar/kecil), maka `QUARANTINE`. Jika tidak, `UNKNOWN_ACTION`.
act	`security_result.action_details`	Dipetakan secara langsung.
cat	`security_result.category_details`	Dipetakan secara langsung.
cn1	`target.asset_id`	Diawali dengan "Host Id:" jika `cn1Label` adalah "Host ID".
desc	`metadata.description`	Dipetakan secara langsung.
dvchost	`target.asset.hostname`	Dipetakan secara langsung.
dvchost	`target.hostname`	Dipetakan secara langsung.
log_type	`metadata.product_name`	Dipetakan secara langsung.
msg	`security_result.description`	Dipetakan secara langsung.
name	`security_result.summary`	Dipetakan secara langsung.
organization	`target.administrative_domain`	Dipetakan secara langsung.
proto	`additional.fields.key`	Ditetapkan ke "Protocol" jika kolom `proto` tidak dapat dikonversi menjadi bilangan bulat.
proto	`additional.fields.value.string_value`	Dipetakan secara langsung jika kolom `proto` tidak dapat dikonversi menjadi bilangan bulat.
proto	`network.ip_protocol`	Dipetakan menggunakan logika `parse_ip_protocol.include`, yang mengonversi nomor protokol ke nama yang sesuai (misalnya, "6" menjadi "TCP").
product_version	`metadata.product_version`	Dipetakan secara langsung.
sev	`security_result.severity`	Jika `sev` adalah "0", "1", "2", "3", atau "low" (tidak peka huruf besar/kecil), maka `LOW`. Jika `sev` adalah "4", "5", "6", atau "medium" (tidak peka huruf besar/kecil), maka `MEDIUM`. Jika `sev` adalah "7", "8", atau "high" (tidak peka huruf besar/kecil), maka `HIGH`. Jika `sev` adalah "9", "10", atau "very high" (tidak peka huruf besar/kecil), maka `CRITICAL`.
sev	`security_result.severity_details`	Dipetakan secara langsung.
src	`principal.asset.hostname`	Dipetakan secara langsung jika bukan alamat IP yang valid.
src	`principal.asset.ip`	Dipetakan secara langsung jika merupakan alamat IP yang valid.
src	`principal.hostname`	Dipetakan secara langsung jika bukan alamat IP yang valid.
src	`principal.ip`	Dipetakan secara langsung jika merupakan alamat IP yang valid.
TrendMicroDsTenant	`security_result.detection_fields.key`	Ditetapkan ke "TrendMicroDsTenant".
TrendMicroDsTenant	`security_result.detection_fields.value`	Dipetakan secara langsung.
TrendMicroDsTenantId	`security_result.detection_fields.key`	Ditetapkan ke "TrendMicroDsTenantId".
TrendMicroDsTenantId	`security_result.detection_fields.value`	Dipetakan secara langsung.
usrName	`principal.user.userid`	Dipetakan secara langsung. Jika `has_principal` benar dan `has_target` benar, maka `NETWORK_CONNECTION`. Jika `has_principal` benar, maka `STATUS_UPDATE`. Jika `has_target` benar dan `has_principal` salah, maka `USER_UNCATEGORIZED`. Jika tidak, `GENERIC_EVENT`. Ditetapkan ke `AUTHTYPE_UNSPECIFIED` jika `event_type` adalah `USER_UNCATEGORIZED`. Ditetapkan ke "true" jika IP utama, nama host, atau alamat MAC diekstrak. Jika tidak, diinisialisasi ke "false". Ditetapkan ke "true" jika IP target, nama host, atau alamat MAC diekstrak. Jika tidak, diinisialisasi ke "false". Sama dengan stempel waktu peristiwa tingkat atas. Ditetapkan ke "Trend Micro".

Log Perubahan

Lihat Log Perubahan untuk parser ini

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.