Raccogli i log di Trend Micro Deep Security
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log di Trend Micro Deep Security in Google Security Operations utilizzando Bindplane. Trend Micro Deep Security è una piattaforma di sicurezza dei server che fornisce anti-malware, IPS, firewall, monitoraggio dell'integrità, ispezione dei log e controllo delle applicazioni per i carichi di lavoro fisici, virtuali e cloud. Deep Security si sta consolidando nella piattaforma Trend Vision One, ma Deep Security Manager continua a generare eventi syslog per tutti i moduli di protezione.
Per maggiori informazioni, consulta Raccogliere i log di Trend Micro Deep Security.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps.
- Un host Windows 2016 o versioni successive o Linux con systemd.
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso privilegiato alla console web Trend Micro Deep Security Manager con ruolo di amministratore o revisore.
- Deep Security Manager 20.0 o versioni successive.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agente di raccolta.
- Scarica il file di autenticazione importazione.
- Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh
Risorse aggiuntive per l'installazione
- Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/opt/observiq-otel-collector/config.yamlsu Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: tcplog: listen_address: "0.0.0.0:1514" exporters: chronicle/trendmicro_ds: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: TRENDMICRO_DEEP_SECURITY raw_log_field: body ingestion_labels: service: pipelines: logs/trendmicro_ds_to_chronicle: receivers: - tcplog exporters: - chronicle/trendmicro_ds
- Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
- Sostituisci
<CUSTOMER_ID>con l'ID cliente effettivo. - Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop observiq-otel-collector && net start observiq-otel-collector
Configura l'inoltro di syslog su Trend Micro Deep Security
Configurare le impostazioni di syslog in Deep Security Manager
- Accedi alla console web di Trend Micro Deep Security Manager.
- Vai ad Amministrazione > Impostazioni di sistema > Inoltro eventi.
- Nella sezione SIEM, seleziona Inoltra eventi a un computer remoto (tramite Syslog).
Fai clic su Modifica accanto alla configurazione di syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome server: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta server: inserisci
1514(o la porta configurata). - Trasporto: seleziona TCP.
- Formato evento: seleziona Common Event Format (CEF).
Fai clic su Ok per salvare la configurazione del server syslog.
Seleziona i tipi di eventi da inoltrare
Nella scheda Inoltro eventi, configura i tipi di eventi da inoltrare:
- Eventi antimalware: seleziona Inoltra eventi antimalware a Syslog.
- Eventi di reputazione web: seleziona Inoltra eventi di reputazione web a Syslog.
- Eventi firewall: seleziona Inoltra eventi firewall a Syslog.
- Eventi di prevenzione delle intrusioni: seleziona Inoltra eventi di prevenzione delle intrusioni a Syslog.
- Eventi di monitoraggio dell'integrità: seleziona Inoltra eventi di monitoraggio dell'integrità a Syslog.
- Eventi di controllo dei log: seleziona Inoltra eventi di controllo dei log a Syslog.
- Eventi di controllo delle applicazioni: seleziona Inoltra eventi di controllo delle applicazioni a Syslog.
- Eventi di sistema: seleziona Inoltra eventi di sistema a Syslog.
Fai clic su Salva.
Configurare syslog a livello di policy (facoltativo)
Se devi configurare l'inoltro di syslog per policy specifiche:
- Vai a Norme.
- Fai doppio clic sulla norma che vuoi configurare.
Vai a Impostazioni > Inoltro eventi.
Per ogni modulo di protezione, puoi eseguire l'override delle impostazioni syslog globali:
- Seleziona Eredita per utilizzare l'impostazione globale.
- Seleziona Sì per abilitare l'inoltro di syslog per la policy specifica.
- Seleziona No per disattivare l'inoltro di syslog per la norma specifica.
Fai clic su Salva.
Verificare l'inoltro di Syslog
- In Deep Security Manager, vai a Eventi e report > Eventi.
- Verifica che vengano generati eventi di sicurezza.
Controlla i log dell'agente Bindplane per verificare che i messaggi syslog vengano ricevuti sul listener TCP:
sudo journalctl -u observiq-otel-collector -f
Per saperne di più, consulta la documentazione di Trend Micro Deep Security syslog.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
dvc |
about.ip |
Unita |
aggregation_type_label |
additional.fields |
Unita |
cn1Label |
additional.fields |
Mappato: Host ID → cn1_label |
cn1_label |
additional.fields |
Unita |
fileInCompressedFile_label |
additional.fields |
Unita |
repeat_count_label |
additional.fields |
Unita |
cef_host |
intermediary.hostname |
Mappato direttamente |
hostname |
intermediary.hostname |
Mappato direttamente |
cef_host |
intermediary.ip |
Unita |
hostname |
intermediary.ip |
Unita |
desc |
metadata.description |
Mappato direttamente |
timestamp |
metadata.event_timestamp |
Analizzato come ISO8601 |
has_principal |
metadata.event_type |
Mappato: true → NETWORK_HTTP, true → STATUS_UPDATE |
TrendMicroDsTenant |
metadata.product_deployment_id |
Mappato direttamente |
event_id |
metadata.product_event_type |
Mappato direttamente |
log_type |
metadata.product_name |
Mappato direttamente |
product_version |
metadata.product_version |
Mappato direttamente |
organization |
metadata.vendor_name |
Mappato direttamente |
proto |
network.ip_protocol |
Mappato: ICMPv6 → ICMP |
in |
network.received_bytes |
Rinominate/mappate |
out |
network.sent_bytes |
Rinominate/mappate |
dvchost |
principal.asset.hostname |
Mappato direttamente |
shost |
principal.asset.hostname |
Mappato direttamente |
src |
principal.asset.ip |
Unita |
dvchost |
principal.hostname |
Mappato direttamente |
shost |
principal.hostname |
Mappato direttamente |
src |
principal.ip |
Unita |
smac |
principal.mac |
Unita |
srcMAC |
principal.mac |
Unita |
spt |
principal.port |
Mappato direttamente |
srcPort |
principal.port |
Mappato direttamente |
TrendMicroDsProcessPid |
principal.process.pid |
Mappato direttamente |
suser |
principal.user.user_display_name |
Mappato direttamente |
suid |
principal.user.userid |
Mappato direttamente |
usrName |
principal.user.userid |
Mappato direttamente |
action |
security_result.action |
Unita |
act |
security_result.action_details |
Mappato direttamente |
result |
security_result.action_details |
Mappato direttamente |
cat |
security_result.category_details |
Unita |
msg |
security_result.description |
Mappato direttamente |
TrendMicroDsPacketData_label |
security_result.detection_fields |
Unita |
behaviour_type_field |
security_result.detection_fields |
Unita |
cn3_label |
security_result.detection_fields |
Unita |
count_label |
security_result.detection_fields |
Unita |
cs1_label |
security_result.detection_fields |
Unita |
cs2_label |
security_result.detection_fields |
Unita |
cs3_label |
security_result.detection_fields |
Unita |
cs4_label |
security_result.detection_fields |
Unita |
cs5_label |
security_result.detection_fields |
Unita |
cs6_label |
security_result.detection_fields |
Unita |
cs7_label |
security_result.detection_fields |
Unita |
frame_type_field |
security_result.detection_fields |
Unita |
malware_target |
security_result.detection_fields |
Unita |
process_label |
security_result.detection_fields |
Unita |
target_type |
security_result.detection_fields |
Unita |
tenant_field |
security_result.detection_fields |
Unita |
tenant_id_field |
security_result.detection_fields |
Unita |
sev |
security_result.severity |
Mappato: "0", "1", "2", "3", "LOW" → LOW, "4", "5", "6", "MEDIUM" → MEDIUM, `"7", "8"... |
sev |
security_result.severity_details |
Mappato direttamente |
name |
security_result.summary |
Mappato direttamente |
result |
security_result.summary |
Mappato direttamente |
event_name |
security_result.threat_name |
Mappato direttamente |
organization |
target.administrative_domain |
Mappato direttamente |
cef_host |
target.asset.hostname |
Mappato direttamente |
hostname |
target.asset.hostname |
Mappato direttamente |
target |
target.asset.hostname |
Mappato direttamente |
dst |
target.asset.ip |
Unita |
filePath |
target.file.full_path |
Mappato direttamente |
cs3 |
target.file.md5 |
Mappato direttamente |
TrendMicroDsFileSHA1 |
target.file.sha1 |
Mappato direttamente |
cs2 |
target.file.sha1 |
Mappato direttamente |
fileHash |
target.file.sha256 |
Mappato direttamente |
cn2 |
target.file.size |
Rinominate/mappate |
fsize |
target.file.size |
Rinominate/mappate |
cef_host |
target.hostname |
Mappato direttamente |
hostname |
target.hostname |
Mappato direttamente |
target |
target.hostname |
Mappato direttamente |
dst |
target.ip |
Unita |
dmac |
target.mac |
Unita |
dstMAC |
target.mac |
Unita |
dpt |
target.port |
Mappato direttamente |
dstPort |
target.port |
Mappato direttamente |
duser |
target.user.user_display_name |
Mappato direttamente |
| N/D | metadata.event_type |
Costante: NETWORK_HTTP |
| N/D | network.ip_protocol |
Costante: ICMP |
| N/D | security_result.severity |
Costante: LOW |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.