Trend Micro Apex Central のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Trend Micro Apex Central ログを Google Security Operations に取り込む方法について説明します。
Trend Micro Apex Central は、Trend Micro 製品の一元的なセキュリティ管理コンソールです。エンドポイント、サーバー、ネットワーク レイヤ全体で脅威検出、ポリシー管理、セキュリティ イベントログを提供します。syslog 経由で CEF 形式のログを出力します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Trend Micro Apex Central サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- 管理者権限を持つ Trend Micro Apex Central への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
取り込み認証ファイル をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/trendmicro_apex_central: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: TRENDMICRO_APEX_CENTRAL raw_log_field: body service: pipelines: logs/trendmicro_apex_central_to_chronicle: receivers: - tcplog exporters: - chronicle/trendmicro_apex_central
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要です。root 以外のユーザーは1514を使用します)。
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル> 保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Trend Micro Apex Central の syslog 転送を構成する
- Apex Central 管理コンソールにログインします。
- [Administration] > [Settings] > [Syslog Settings] に移動します。
- [Syslog 転送を有効にする] チェックボックスをオンにして、syslog 転送を有効にします。
- 次の構成の詳細を指定します。
- サーバー アドレス: Bindplane エージェント ホストの IP アドレスを入力します。
- ポート: 「
514」と入力します。 - プロトコル: [TCP] を選択します。
- 形式: [CEF](Common Event Format)を選択します。
- 転送するログタイプを選択します。
- 検出ログ
- ポリシー違反イベント
- セキュリティ イベント
- システム イベント
- [保存] をクリックして、構成を適用します。
- Bindplane エージェントのログを調べて、ログが送信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| var_eventFormatVersion、var_severity、dntdom_label、additional_cs6、additional_product_version、additional_cat、additional_msg、additional_dvchost、var_cs1_label、var_cs1、var_cs2、var_cs5、var_deviceExternalId、var_c6a3、var_cn1_label、var_cn1、var_cn2、var_cs4_label、var_cs4、var_c6a2、var_cn3、var_cnt、var_TMCMLogTarget、var_deviceDirection | additional.fields | ベンダー固有の追加イベントデータ |
| rt | metadata.event_timestamp | イベントが発生したときのタイムスタンプ |
| event_name | metadata.event_type | イベントのタイプ(USER_LOGIN、NETWORK_CONNECTION など) |
| event_id | metadata.product_event_type | プロダクトからのイベントのタイプ |
| devicePayloadId | metadata.product_log_id | プロダクトのログエントリの一意の識別子 |
| cs3、product_version | metadata.product_version | プロダクトのバージョン |
| vendor | metadata.vendor_name | ベンダー/会社名 |
| product_name | metadata.product_name | 商品名 |
| アプリ | network.application_protocol | アプリケーション プロトコル |
| deviceDirection | network.direction | ネットワーク トラフィックの方向 |
| proto | network.ip_protocol | IP プロトコル |
| ドメイン、dntdom | principal.administrative_domain | プリンシパルの管理ドメイン |
| dhost | principal.asset.hostname | アセットのホスト名 |
| TMCMLogDetectedIP, princ_ip | principal.asset.ip | アセットの IP アドレス |
| プラットフォーム | principal.asset.platform | アセットのプラットフォーム |
| patch_level | principal.asset.platform_patch_level | プラットフォームのパッチレベル |
| version | principal.asset.platform_version | プラットフォームのバージョン |
| dvchost、dhost | principal.hostname | 送信元ホスト名 |
| TMCMLogDetectedIP, princ_ip | principal.ip | プリンシパルの IP アドレス |
| smac | principal.mac | プリンシパルの MAC アドレス |
| spt | principal.port | プリンシパルのポート |
| deviceProcessName | principal.process.file.full_path | プロセス ファイルのフルパス |
| duser | principal.user.userid | プリンシパルのユーザー ID |
| security_result | security_result | セキュリティの結果 |
| act | security_result.action | セキュリティ プロダクトによって実行されたアクション |
| act、cs5 | security_result.action_details | 実施された措置の詳細 |
| cs4 | security_result.category_details | カテゴリの詳細 |
| cs1、cn2 | security_result.description | セキュリティ結果の説明 |
| var_cn2_label | security_result.detection_fields | 検出に関連するフィールド |
| cn1 | security_result.rule_id | ルールの ID |
| cs1 | security_result.rule_name | ルールの名前 |
| cn3、severity、cn4、cn2 | security_result.severity | セキュリティ結果の重大度 |
| event_name | security_result.threat_name | 脅威の名前 |
| cnt | security_result.verdict_info | 判定に関する情報 |
| shost | src.hostname | 送信元ホスト名 |
| src、host_ip | src_ip | 送信元 IP アドレス |
| suser | src.user.userid | ソースのユーザー ID |
| deviceNtDomain | target.administrative_domain | ターゲットの管理ドメイン |
| c6a3 | target.asset.ip | アセットの IP アドレス |
| filePath、sproc | target.file.full_path | ファイルのフルパス |
| fname | target.file.names | ファイルの名前 |
| fileHash | target.file.sha1 | ファイルの SHA1 ハッシュ |
| c6a3 | target.ip | ターゲットの IP アドレス |
| dmac | target.mac | ターゲットの MAC アドレス |
| dpt | target.port | ターゲットのポート |
| cs3、sproc | target.process.file.full_path | プロセス ファイルのフルパス |
| リクエスト | target.url | ターゲットの URL |
| duser | target.user.userid | ターゲットのユーザー ID |
cs3 |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
Product_Version |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
var_cn2_label.value |
N/A |
変更履歴からマッピング |
var_cn2_label.value |
Unknown |
変更履歴からマッピング |
var_cn2_label.value |
Clean |
変更履歴からマッピング |
var_cn2_label.value |
Delete |
変更履歴からマッピング |
var_cn2_label.value |
Move |
変更履歴からマッピング |
var_cn2_label.value |
Rename |
変更履歴からマッピング |
var_cn2_label.value |
Pass/Log |
変更履歴からマッピング |
var_cn2_label.value |
Strip |
変更履歴からマッピング |
var_cn2_label.value |
Drop |
変更履歴からマッピング |
var_cn2_label.value |
Quarantine |
変更履歴からマッピング |
cnt |
security_result.verdict_info.malicious_count |
変更履歴からマッピング |
metadata.event_type |
STATUS_UPDATE |
変更履歴からマッピング |
変更履歴
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。