« 趋势科技 趋势科技 Vision One »
Elastic 文档 Elastic 集成 趋势科技

趋势科技集成

编辑

趋势科技集成

编辑

版本

2.5.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

概述

编辑

趋势科技 Deep Security 为物理、虚拟和云服务器提供高级服务器安全保护。它在无需紧急修补的情况下保护企业应用程序和数据免受漏洞和业务中断的影响。趋势科技 Deep Security 集成通过 syslog 服务器收集和解析从 Deep Security 收到的数据。

数据流

编辑

此集成支持 deep_security 数据流。有关详细信息,请参阅 Deep Security 日志记录文档 此处

要求

编辑

需要 Elastic Agent 从 Deep Security 提取数据。有关详细信息,请参阅 此处 的链接。

安装和管理 Elastic Agent

编辑

您有以下几种安装和管理 Elastic Agent 的选项

安装 Fleet 管理的 Elastic Agent(推荐)
编辑

通过此方法,您将安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。

以独立模式安装 Elastic Agent(高级用户)
编辑

通过此方法,您将安装 Elastic Agent,并在安装代理的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。

在容器化环境中安装 Elastic Agent
编辑

您可以在容器内运行 Elastic Agent,可以使用 Fleet Server 或独立运行。所有 Elastic Agent 版本的 Docker 镜像都可从 Elastic Docker 注册表获得,我们还提供了在 Kubernetes 上运行的部署清单。

运行 Elastic Agent 有一些最低要求,有关详细信息,请参阅 此处 的链接。

所需的最低 kibana.version8.11.0

此集成已针对 Deep Security 20 进行了测试。请注意,如果您拥有趋势科技 Vision One XDR 许可证,我们建议使用 Vision One 集成来提取 Deep Security 事件。有关如何配置 Vision One 的 Deep Security 事件的步骤,请参阅 此处

设置

编辑

按照设置指南将 Deep Security 事件转发到 syslog 服务器。

在 Elastic 中启用集成
编辑
  1. 在 Kibana 中,转到“管理”>“集成”
  2. 在“搜索集成”搜索栏中,键入“趋势科技”。
  3. 从搜索结果中单击“趋势科技”集成。
  4. 单击“添加趋势科技”按钮以添加集成。
  5. 根据启用的输入类型添加所有必需的集成配置参数。
  6. 单击“保存并继续”以保存集成。

日志

编辑
Deep Security 日志
编辑

Deep Security 日志收集趋势科技 Deep Security 日志。

示例

deep_security 的示例事件如下所示

{
    "@timestamp": "2020-09-21T07:21:11.000Z",
    "agent": {
        "ephemeral_id": "2ea89e49-a391-4415-a8c4-c0ad743e691b",
        "id": "e87ecfdf-7336-4275-96c5-a4ab24a8facc",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.11.0"
    },
    "data_stream": {
        "dataset": "trendmicro.deep_security",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "e87ecfdf-7336-4275-96c5-a4ab24a8facc",
        "snapshot": false,
        "version": "8.11.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "code": "5000000",
        "dataset": "trendmicro.deep_security",
        "ingested": "2024-03-20T09:48:02Z",
        "kind": "event",
        "original": "194 <86>2020-09-21T13:51:11+06:30 DeepSec Logs CEF:0|Trend Micro|Deep Security Agent|10.2.229|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=example.com msg=Blocked By Admin",
        "severity": 5,
        "timezone": "UTC",
        "type": [
            "info"
        ]
    },
    "host": {
        "id": "1"
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "192.168.224.7:54066"
        },
        "syslog": {
            "priority": 86
        }
    },
    "message": "Blocked By Admin",
    "observer": {
        "hostname": "hostname",
        "product": "Deep Security Agent",
        "vendor": "Trend Micro",
        "version": "10.2.229"
    },
    "related": {
        "hosts": [
            "1"
        ]
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "trendmicro.deep_security"
    ],
    "trendmicro": {
        "deep_security": {
            "device": {
                "custom_number1": {
                    "label": "Host ID"
                }
            },
            "event_category": "web-reputation-event",
            "signature_id": 5000000,
            "version": "0"
        }
    },
    "url": {
        "original": "example.com"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集。

constant_keyword

event.module

事件模块。

constant_keyword

input.type

Filebeat 输入的类型。

keyword

log.file.device_id

包含文件所在文件系统的设备的 ID。

keyword

log.file.fingerprint

启用指纹识别时,文件的 sha256 指纹标识。

keyword

log.file.idxhi

与文件关联的唯一标识符的高位部分。(仅限 Windows)

keyword

log.file.idxlo

与文件关联的唯一标识符的低位部分。(仅限 Windows)

keyword

log.file.inode

日志文件的 inode 号。

keyword

log.file.vol

包含文件的卷的序列号。(仅限 Windows)

keyword

log.offset

日志偏移量。

long

log.source.address

读取/发送日志事件的源地址。

keyword

source.process.name

源进程名称。

keyword

trendmicro.deep_security.action

完整性规则检测到的操作。

keyword

trendmicro.deep_security.aggregation_type

一个整数,指示事件的聚合方式:。

keyword

trendmicro.deep_security.base_event_count

基本事件计数。

long

trendmicro.deep_security.bytes_in

读取的入站字节数。

long

trendmicro.deep_security.computer_name

计算机名称。

keyword

trendmicro.deep_security.destination.address

目标计算机的 IP 地址。

ip

trendmicro.deep_security.destination.mac_address

目标 MAC 地址。

keyword

trendmicro.deep_security.destination.port

目标计算机的连接或会话的端口号。

long

trendmicro.deep_security.destination.user_name

目标用户名。

keyword

trendmicro.deep_security.device.custom_number1.label

字段 cn1 的名称标签。

keyword

trendmicro.deep_security.device.custom_number1.value

字段 cn1 的值。

keyword

trendmicro.deep_security.device.custom_number2.label

字段 cn2 的名称标签。

keyword

trendmicro.deep_security.device.custom_number2.value

字段 cn2 的值。

long

trendmicro.deep_security.device.custom_number3.label

字段 cn3 的名称标签。

keyword

trendmicro.deep_security.device.custom_number3.value

字段 cn3 的值。

long

trendmicro.deep_security.device.custom_string1.label

字段 cs1 的名称标签。

keyword

trendmicro.deep_security.device.custom_string1.value

字段 cs1 的值。

keyword

trendmicro.deep_security.device.custom_string2.label

字段 cs2 的名称标签。

keyword

trendmicro.deep_security.device.custom_string2.value

字段 cs2 的值。

keyword

trendmicro.deep_security.device.custom_string3.label

字段 cs3 的名称标签。

keyword

trendmicro.deep_security.device.custom_string3.value

字段 cs3 的值。

keyword

trendmicro.deep_security.device.custom_string4.label

字段 cs4 的名称标签。

keyword

trendmicro.deep_security.device.custom_string4.value

字段 cs4 的值。

keyword

trendmicro.deep_security.device.custom_string5.label

字段 cs5 的名称标签。

keyword

trendmicro.deep_security.device.custom_string5.value

字段 cs5 的值。

keyword

trendmicro.deep_security.device.custom_string6.label

字段 cs6 的名称标签。

keyword

trendmicro.deep_security.device.custom_string6.value

字段 cs6 的值。

keyword

trendmicro.deep_security.device.custom_string7.label

字段 cs7 的名称标签。

keyword

trendmicro.deep_security.device.custom_string7.value

字段 cs7 的值。

keyword

trendmicro.deep_security.device.product

产品名称。

keyword

trendmicro.deep_security.device.vendor

供应商名称。

keyword

trendmicro.deep_security.device.version

产品版本。

keyword

trendmicro.deep_security.deviceHostName

cn1 的主机名。

keyword

trendmicro.deep_security.domain_name

域名。

keyword

trendmicro.deep_security.event_category

Deep Security 事件的事件类别。

keyword

trendmicro.deep_security.event_class_id

事件类 ID。

keyword

trendmicro.deep_security.file.hash

标识软件文件的 SHA 256 哈希。

keyword

trendmicro.deep_security.file.size

文件大小(以字节为单位)。

long

trendmicro.deep_security.file_path

恶意软件文件的位置。

keyword

trendmicro.deep_security.filename

访问的文件名。

keyword

trendmicro.deep_security.message

更改的属性名称列表。

keyword

trendmicro.deep_security.model

设备的产品名称。

keyword

trendmicro.deep_security.name

包含消息的 CEF 事件。

keyword

trendmicro.deep_security.permission

访问的阻止原因。

keyword

trendmicro.deep_security.process.name

进程名称。

keyword

trendmicro.deep_security.repeat_count

事件发生的次数。

keyword

trendmicro.deep_security.request_url

请求的 URL。

keyword

trendmicro.deep_security.result

失败的反恶意软件操作的结果。

keyword

trendmicro.deep_security.serial

设备的序列号。

keyword

trendmicro.deep_security.severity

事件的严重性。

long

trendmicro.deep_security.signature_id

事件的签名 ID。

long

trendmicro.deep_security.source.address

源计算机 IP 地址。

ip

trendmicro.deep_security.source.host_name

源计算机主机名。

keyword

trendmicro.deep_security.source.mac_address

源计算机网络接口的 MAC 地址。

keyword

trendmicro.deep_security.source.port

源计算机的连接或会话的端口号。

long

trendmicro.deep_security.source.process_name

事件源进程的名称。

keyword

trendmicro.deep_security.source.user_id

源用户 ID。

keyword

trendmicro.deep_security.source.user_name

更改受监视文件的用户的帐户。

keyword

trendmicro.deep_security.target.id

在管理器中添加的标识符。

keyword

trendmicro.deep_security.target.value

事件的主题。它可以是登录到 Deep Security Manager 的管理员帐户或计算机。

keyword

trendmicro.deep_security.transport_protocol

使用的传输协议的名称。

keyword

trendmicro.deep_security.trendmicro.ds_behavior.rule_id

用于内部恶意软件案例跟踪的行为监控规则 ID。

keyword

trendmicro.deep_security.trendmicro.ds_behavior.type

检测到的行为监控事件的类型。

keyword

trendmicro.deep_security.trendmicro.ds_command_line

主题进程执行的命令。

keyword

trendmicro.deep_security.trendmicro.ds_cve

如果进程行为在其中一个公共漏洞和暴露中被识别,则为 CVE 信息。

keyword

trendmicro.deep_security.trendmicro.ds_detection_confidence

指示文件与恶意软件模型的匹配程度。

long

trendmicro.deep_security.trendmicro.ds_file.md5

文件的 MD5 哈希。

keyword

trendmicro.deep_security.trendmicro.ds_file.sha1

文件的 SHA1 哈希。

keyword

trendmicro.deep_security.trendmicro.ds_file.sha256

文件的 SHA256 哈希。

keyword

trendmicro.deep_security.trendmicro.ds_frame_type

连接以太网帧类型。

keyword

trendmicro.deep_security.trendmicro.ds_malware_target.count

目标文件数量。

long

trendmicro.deep_security.trendmicro.ds_malware_target.type

此恶意软件试图影响的系统资源类型。

keyword

trendmicro.deep_security.trendmicro.ds_malware_target.value

恶意软件试图影响的文件、进程或注册表项(如果有)。

keyword

trendmicro.deep_security.trendmicro.ds_mitre

MITRE 信息,如果进程行为在 MITRE 攻击场景中被识别出来。

keyword

trendmicro.deep_security.trendmicro.ds_packet_data

以 Base64 表示的数据包数据。

keyword

trendmicro.deep_security.trendmicro.ds_process

ds 进程的名称。

keyword

trendmicro.deep_security.trendmicro.ds_relevant_detection_names

可能的威胁类型。

keyword

trendmicro.deep_security.trendmicro.ds_tenant

Deep Security 租户。

keyword

trendmicro.deep_security.trendmicro.ds_tenant_id

Deep Security 租户 ID。

keyword

trendmicro.deep_security.type

设备的设备类型。

keyword

trendmicro.deep_security.version

Deep Security 版本。

keyword

trendmicro.deep_security.xff

X-Forwarded-For 标头中最后一个中心的 IP 地址。

ip

更新日志

编辑
更新日志
版本 详情 Kibana 版本

2.5.0

增强 (查看拉取请求)
不要在主摄取管道中删除 event.original

8.13.0 或更高版本

2.4.0

增强 (查看拉取请求)
event.kind 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标签。

8.13.0 或更高版本

2.3.0

增强 (查看拉取请求)
删除 import_mappings。将 kibana 约束更新为 ^8.13.0。修改字段定义,删除由 ecs@mappings 组件模板冗余的 ECS 字段。

8.13.0 或更高版本

2.2.0

增强 (查看拉取请求)
为反恶意软件事件添加 ECS 分类。

8.11.0 或更高版本

2.1.0

增强 (查看拉取请求)
如果未指定操作,则使用 CEF 名称作为 event.action

8.11.0 或更高版本

2.0.0

增强 (查看拉取请求)
改进 ECS 映射、新仪表板和与 Deep Security v20 兼容的重大更改。

增强 (查看拉取请求)
将最低 kibana 版本更新为 8.11.0。

8.11.0 或更高版本

1.8.4

增强 (查看拉取请求)
更改了所有者

8.6.0 或更高版本

1.8.3

错误修复 (查看拉取请求)
更新 ECS 分类字段映射。

8.6.0 或更高版本

1.8.2

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.6.0 或更高版本

1.8.1

错误修复 (查看拉取请求)
处理八位计数 TCP 消息中的长度前缀。

8.6.0 或更高版本

1.8.0

增强 (查看拉取请求)
添加对 TLS 的支持。

8.6.0 或更高版本

1.7.0

增强 (查看拉取请求)
ECS 版本更新为 8.11.0。

8.6.0 或更高版本

1.6.0

增强 (查看拉取请求)
调整字段以适应文件系统信息的更改

8.6.0 或更高版本

1.5.0

增强 (查看拉取请求)
设置社区所有者类型。

8.6.0 或更高版本

1.4.0

增强 (查看拉取请求)
ECS 版本更新为 8.10.0。

8.6.0 或更高版本

1.3.0

增强 (查看拉取请求)
程序包清单中的 format_version 从 2.11.0 更改为 3.0.0。从程序包清单中删除了带点的 YAML 键。将 owner.type: elastic 添加到程序包清单。

8.6.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和保存的搜索标记为 “安全解决方案”,并在安全解决方案 UI 中显示。

8.6.0 或更高版本

1.1.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.9.0。

8.6.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 Trend Micro Deep Security 作为 GA 发布。

8.6.0 或更高版本

0.5.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.4.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.8.0。

0.3.0

增强 (查看拉取请求)
将 package-spec 版本更新为 2.7.0。

0.2.0

增强 (查看拉取请求)
将程序包更新到 ECS 8.7.0。

0.1.0

增强 (查看拉取请求)
程序包的初始草案

« 趋势科技 趋势科技 Vision One »