Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Trend Micro Email Security

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Trend Micro Email Security dans Google Security Operations à l'aide de Bindplane. Trend Micro Email Security est une passerelle de messagerie cloud qui protège les organisations contre le spam, les logiciels malveillants, l'hameçonnage, les ransomwares et les attaques ciblées avancées avant qu'ils n'atteignent les boîtes aux lettres des utilisateurs. Elle fournit un filtrage des URL, un bac à sable pour les pièces jointes et une protection contre la perte de données pour le trafic de messagerie entrant et sortant.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps.
Un hôte Windows 2016 ou version ultérieure, ou Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Un accès privilégié à la console d'administration Trend Micro Email Security.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agent (Paramètres SIEM > Agent de collecte).
Téléchargez le fichier d'authentification d'ingestion.
- Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Profile (Paramètres SIEM > Profil).
Copiez l'ID client dans la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  tcplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'TRENDMICRO_EMAIL_SECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - tcplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez YOUR_CUSTOMER_ID par l'ID client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès au fichier où le fichier d'authentification a été enregistré à l'étape 1.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configurer le transfert syslog Trend Micro Email Security

Pour configurer Trend Micro Email Security afin qu'il transfère les journaux à l'agent Bindplane via syslog, procédez comme suit :

Connectez-vous à la console d'administration Trend Micro Email Security.
Accédez à Administration > Syslog Settings (Administration > Paramètres Syslog).
Cliquez sur Add (Ajouter) pour créer un profil de serveur syslog.
Fournissez les informations de configuration suivantes :
- Server Address (Adresse du serveur) : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- Port : saisissez 514 (ou le port configuré dans l'agent Bindplane).
- Protocol (Protocole) : sélectionnez TCP.
- Format : sélectionnez CEF (Common Event Format).
Dans la section Log Types (Types de journaux), sélectionnez les catégories de journaux à transférer :
- Policy Events (Événements de règles) : actions de règles de filtrage des e-mails.
- Spam Detection (Détection de spam) : événements de spam et de graymail.
- Malware Detection (Détection de logiciels malveillants) : événements de détection de virus et de logiciels malveillants.
- Ransomware Detection (Détection de ransomwares) : événements de détection de ransomwares.
- URL Analysis (Analyse d'URL) : événements de clic sur des URL et de protection au moment du clic.
- Advanced Threat Protection (Protection avancée contre les menaces) : événements d'analyse de bac à sable.
- Data Loss Prevention (Protection contre la perte de données) : événements de violation des règles DLP.
- Content Filtering (Filtrage de contenu) : événements de règles de filtrage de contenu.
Cliquez sur Save (Enregistrer).
Cliquez sur Test Connection (Tester la connexion) pour vérifier que les journaux sont envoyés à l'agent Bindplane.
Vérifiez que les journaux arrivent en consultant les journaux de l'agent Bindplane.

Pour en savoir plus, consultez la documentation Trend Micro Email Security.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`additional_cn1`	`additional.fields`	Fusionné
`additional_cs1`	`additional.fields`	Fusionné
`additional_cs2`	`additional.fields`	Fusionné
`additional_cs3`	`additional.fields`	Fusionné
`additional_cs4`	`additional.fields`	Fusionné
`additional_cs5`	`additional.fields`	Fusionné
`additional_cs6`	`additional.fields`	Fusionné
`message`	`extensions.auth.type`	Mappé : `login` → `AUTHTYPE_UNSPECIFIED`
`msg`	`metadata.description`	Mappé directement
`rt`	`metadata.event_timestamp`	Analysé en tant que `ISO8601`
`cs1`	`metadata.event_type`	Mappé : `phishing` → `SCAN_UNCATEGORIZED`
`message`	`metadata.event_type`	Mappé : `CEF:0` → `GENERIC_EVENT`, `login` → `USER_LOGIN`
`cs1`	`metadata.product_event_type`	Mappé directement
`network_direction`	`network.direction`	Mappé : `INCOMING` → `INBOUND`, `OUTGOING` → `OUTBOUND`
`cs2`	`principal.hostname`	Mappé directement
`principal_ip`	`principal.hostname`	Mappé directement
`principal_ip`	`principal.ip`	Fusionné
`message`	`principal.user.userid`	Mappé : `login` → `target.user.userid`
`suser`	`principal.user.userid`	Mappé directement
`act`	`security_result.action`	Mappé : `ALLOW` → `act`, `DENY` → `security_result_action`, `QUARANTINE` → `act`
`security_result_action`	`security_result.action`	Fusionné
`act`	`security_result.action_details`	Mappé directement
`cs5`	`security_result.rule_name`	Mappé directement
`severity`	`security_result.severity`	Mappé : `"0", "1", "2", "3", "LOW"` → `LOW`, `"4", "5", "6", "MEDIUM", "SUBSTANTIAL", "INFO"...
`cs6`	`target.url`	Mappé directement
`duser`	`target.user.email_addresses`	Mappé : `;` → `emailId`
`emailId`	`target.user.email_addresses`	Fusionné
`duser`	`target.user.userid`	Mappé directement
`principal.user.userid`	`target.user.userid`	Renommé/mappé
N/A	`extensions.auth.type`	Constante : `AUTHTYPE_UNSPECIFIED`
N/A	`metadata.event_type`	Constante : `GENERIC_EVENT`
N/A	`network.direction`	Constante : `INBOUND`
N/A	`principal.user.userid`	Constante : `target.user.userid`
N/A	`security_result.severity`	Constante : `LOW`

Journal des modifications

Consulter le journal des modifications de ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.