Trend Micro Deep Security-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Trend Micro Deep Security-Logs mit Bindplane in Google Security Operations aufnehmen. Trend Micro Deep Security ist eine Serversicherheitsplattform, die Anti-Malware, IPS, Firewall, Integritätsüberwachung, Protokollprüfung und Anwendungssteuerung für physische, virtuelle und Cloud-Arbeitslasten bietet. Deep Security wird auf der Trend Vision One-Plattform konsolidiert, aber der Deep Security Manager generiert weiterhin Syslog-Ereignisse für alle Schutzmodule.
Weitere Informationen finden Sie unter Trend Micro Deep Security-Logs erfassen.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz.
- Ein Windows 2016- oder höher- oder Linux-Host mit systemd.
- Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
- Privilegierter Zugriff auf die Trend Micro Deep Security Manager-Webkonsole mit Administrator- oder Prüferrolle.
- Deep Security Manager 20.0 oder höher.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/opt/observiq-otel-collector/config.yamloder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: listen_address: "0.0.0.0:1514" exporters: chronicle/trendmicro_ds: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: TRENDMICRO_DEEP_SECURITY raw_log_field: body ingestion_labels: service: pipelines: logs/trendmicro_ds_to_chronicle: receivers: - tcplog exporters: - chronicle/trendmicro_ds
- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<CUSTOMER_ID>durch die tatsächliche Kunden-ID. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop observiq-otel-collector && net start observiq-otel-collector
Syslog-Weiterleitung in Trend Micro Deep Security konfigurieren
Syslog-Einstellungen in Deep Security Manager konfigurieren
- Melden Sie sich in der Webkonsole von Trend Micro Deep Security Manager an.
- Gehen Sie zu Administration> Systemeinstellungen > Event-Weiterleitung.
- Wählen Sie im Bereich SIEM die Option Ereignisse an einen Remotecomputer weiterleiten (über Syslog) aus.
Klicken Sie neben der Syslog-Konfiguration auf Bearbeiten.
Geben Sie die folgenden Konfigurationsdetails an:
- Servername: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
- Server-Port: Geben Sie
1514(oder den konfigurierten Port) ein. - Transport: Wählen Sie TCP aus.
- Event Format (Ereignisformat): Wählen Sie Common Event Format (CEF) (Common Event Format, CEF) aus.
Klicken Sie auf OK, um die Syslog-Serverkonfiguration zu speichern.
Weiterzuleitende Ereignistypen auswählen
Konfigurieren Sie auf dem Tab Ereignisweiterleitung, welche Ereignistypen weitergeleitet werden sollen:
- Anti-Malware-Ereignisse: Wählen Sie Anti-Malware-Ereignisse an Syslog weiterleiten aus.
- Web Reputation Events (Web-Reputationsereignisse): Wählen Sie Forward Web Reputation Events to Syslog (Web-Reputationsereignisse an Syslog weiterleiten) aus.
- Firewallereignisse: Wählen Sie Firewallereignisse an Syslog weiterleiten aus.
- Ereignisse zur Einbruchsprävention: Wählen Sie Ereignisse zur Einbruchsprävention an Syslog weiterleiten aus.
- Integritätsüberwachungsereignisse: Wählen Sie Integritätsüberwachungsereignisse an Syslog weiterleiten aus.
- Log Inspection Events (Ereignisse zur Protokollprüfung): Wählen Sie Forward Log Inspection Events to Syslog (Ereignisse zur Protokollprüfung an Syslog weiterleiten) aus.
- Application Control Events (Application Control-Ereignisse): Wählen Sie Forward Application Control Events to Syslog (Application Control-Ereignisse an Syslog weiterleiten) aus.
- Systemereignisse: Wählen Sie Systemereignisse an Syslog weiterleiten aus.
Klicken Sie auf Speichern.
Syslog auf Richtlinienebene konfigurieren (optional)
So konfigurieren Sie die Syslog-Weiterleitung für bestimmte Richtlinien:
- Rufen Sie Richtlinien auf.
- Doppelklicken Sie auf die Richtlinie, die Sie konfigurieren möchten.
Gehen Sie zu den Einstellungen > Event-Weiterleitung.
Für jedes Schutzmodul können Sie die globalen Syslog-Einstellungen überschreiben:
- Wählen Sie Übernehmen aus, um die globale Einstellung zu verwenden.
- Wählen Sie Ja aus, um die Syslog-Weiterleitung für die jeweilige Richtlinie zu aktivieren.
- Wählen Sie Nein aus, um die Syslog-Weiterleitung für die jeweilige Richtlinie zu deaktivieren.
Klicken Sie auf Speichern.
Syslog-Weiterleitung bestätigen
- Rufen Sie im Deep Security Manager Events & Reports ;> Events auf.
- Prüfen Sie, ob Sicherheitsereignisse generiert werden.
Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass Syslog-Nachrichten über den TCP-Listener empfangen werden:
sudo journalctl -u observiq-otel-collector -f
Weitere Informationen finden Sie in der Syslog-Dokumentation zu Trend Micro Deep Security.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
dvc |
about.ip |
Zusammengeführt |
aggregation_type_label |
additional.fields |
Zusammengeführt |
cn1Label |
additional.fields |
Zugeordnet: Host ID → cn1_label |
cn1_label |
additional.fields |
Zusammengeführt |
fileInCompressedFile_label |
additional.fields |
Zusammengeführt |
repeat_count_label |
additional.fields |
Zusammengeführt |
cef_host |
intermediary.hostname |
Direkt zugeordnet |
hostname |
intermediary.hostname |
Direkt zugeordnet |
cef_host |
intermediary.ip |
Zusammengeführt |
hostname |
intermediary.ip |
Zusammengeführt |
desc |
metadata.description |
Direkt zugeordnet |
timestamp |
metadata.event_timestamp |
Geparst als ISO8601 |
has_principal |
metadata.event_type |
Zugeordnet: true → NETWORK_HTTP, true → STATUS_UPDATE |
TrendMicroDsTenant |
metadata.product_deployment_id |
Direkt zugeordnet |
event_id |
metadata.product_event_type |
Direkt zugeordnet |
log_type |
metadata.product_name |
Direkt zugeordnet |
product_version |
metadata.product_version |
Direkt zugeordnet |
organization |
metadata.vendor_name |
Direkt zugeordnet |
proto |
network.ip_protocol |
Zugeordnet: ICMPv6 → ICMP |
in |
network.received_bytes |
Umbenannt/zugeordnet |
out |
network.sent_bytes |
Umbenannt/zugeordnet |
dvchost |
principal.asset.hostname |
Direkt zugeordnet |
shost |
principal.asset.hostname |
Direkt zugeordnet |
src |
principal.asset.ip |
Zusammengeführt |
dvchost |
principal.hostname |
Direkt zugeordnet |
shost |
principal.hostname |
Direkt zugeordnet |
src |
principal.ip |
Zusammengeführt |
smac |
principal.mac |
Zusammengeführt |
srcMAC |
principal.mac |
Zusammengeführt |
spt |
principal.port |
Direkt zugeordnet |
srcPort |
principal.port |
Direkt zugeordnet |
TrendMicroDsProcessPid |
principal.process.pid |
Direkt zugeordnet |
suser |
principal.user.user_display_name |
Direkt zugeordnet |
suid |
principal.user.userid |
Direkt zugeordnet |
usrName |
principal.user.userid |
Direkt zugeordnet |
action |
security_result.action |
Zusammengeführt |
act |
security_result.action_details |
Direkt zugeordnet |
result |
security_result.action_details |
Direkt zugeordnet |
cat |
security_result.category_details |
Zusammengeführt |
msg |
security_result.description |
Direkt zugeordnet |
TrendMicroDsPacketData_label |
security_result.detection_fields |
Zusammengeführt |
behaviour_type_field |
security_result.detection_fields |
Zusammengeführt |
cn3_label |
security_result.detection_fields |
Zusammengeführt |
count_label |
security_result.detection_fields |
Zusammengeführt |
cs1_label |
security_result.detection_fields |
Zusammengeführt |
cs2_label |
security_result.detection_fields |
Zusammengeführt |
cs3_label |
security_result.detection_fields |
Zusammengeführt |
cs4_label |
security_result.detection_fields |
Zusammengeführt |
cs5_label |
security_result.detection_fields |
Zusammengeführt |
cs6_label |
security_result.detection_fields |
Zusammengeführt |
cs7_label |
security_result.detection_fields |
Zusammengeführt |
frame_type_field |
security_result.detection_fields |
Zusammengeführt |
malware_target |
security_result.detection_fields |
Zusammengeführt |
process_label |
security_result.detection_fields |
Zusammengeführt |
target_type |
security_result.detection_fields |
Zusammengeführt |
tenant_field |
security_result.detection_fields |
Zusammengeführt |
tenant_id_field |
security_result.detection_fields |
Zusammengeführt |
sev |
security_result.severity |
Zugeordnet: "0", "1", "2", "3", "LOW" → LOW, "4", "5", "6", "MEDIUM" → MEDIUM, „7“, „8“... |
sev |
security_result.severity_details |
Direkt zugeordnet |
name |
security_result.summary |
Direkt zugeordnet |
result |
security_result.summary |
Direkt zugeordnet |
event_name |
security_result.threat_name |
Direkt zugeordnet |
organization |
target.administrative_domain |
Direkt zugeordnet |
cef_host |
target.asset.hostname |
Direkt zugeordnet |
hostname |
target.asset.hostname |
Direkt zugeordnet |
target |
target.asset.hostname |
Direkt zugeordnet |
dst |
target.asset.ip |
Zusammengeführt |
filePath |
target.file.full_path |
Direkt zugeordnet |
cs3 |
target.file.md5 |
Direkt zugeordnet |
TrendMicroDsFileSHA1 |
target.file.sha1 |
Direkt zugeordnet |
cs2 |
target.file.sha1 |
Direkt zugeordnet |
fileHash |
target.file.sha256 |
Direkt zugeordnet |
cn2 |
target.file.size |
Umbenannt/zugeordnet |
fsize |
target.file.size |
Umbenannt/zugeordnet |
cef_host |
target.hostname |
Direkt zugeordnet |
hostname |
target.hostname |
Direkt zugeordnet |
target |
target.hostname |
Direkt zugeordnet |
dst |
target.ip |
Zusammengeführt |
dmac |
target.mac |
Zusammengeführt |
dstMAC |
target.mac |
Zusammengeführt |
dpt |
target.port |
Direkt zugeordnet |
dstPort |
target.port |
Direkt zugeordnet |
duser |
target.user.user_display_name |
Direkt zugeordnet |
| – | metadata.event_type |
Konstante: NETWORK_HTTP |
| – | network.ip_protocol |
Konstante: ICMP |
| – | security_result.severity |
Konstante: LOW |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten