Recoger registros de actividad de Trend Micro Vision One

Disponible en:

En este documento se explica cómo ingerir registros de actividad de Trend Micro Vision One en Google Security Operations mediante AWS S3. El analizador transforma los registros de actividad de Trend Micro Vision One del formato JSON a un modelo de datos unificado (UDM).

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a Trend Micro Vision One.

Configurar el registro en Trend Micro Vision One

  1. Inicia sesión en la consola de Trend Micro Vision One.
  2. Ve a Workflow and Automation > Third-Party Integration (Flujo de trabajo y automatización > Integración de terceros).
  3. Haz clic en Google Security Operations SIEM.
  4. En Clave de acceso, haz clic en Generar clave.
  5. Copia y guarda el ID de clave de acceso y la clave de acceso secreta.
  6. En Transferencia de datos, habilita el interruptor situado junto a Datos de actividad.
  7. Se genera un URI de S3 y los datos empiezan a enviarse al segmento de S3 correspondiente.
  8. Copia y guarda el URI de S3 en un lugar seguro.
  9. (Opcional): En el caso de los datos de eventos y actividad, haga clic en Editar para modificar el ámbito de los datos (modificar el ámbito no cambia el URI de S3 generado).

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de actividad de Trend Micro Vision One).
  5. Selecciona Amazon S3 como Tipo de fuente.
  6. Seleccione Trend Micro Vision One Activity (Actividad de Trend Micro Vision One) como Log type (Tipo de registro).
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • Región: la región en la que se encuentra el segmento de Amazon S3.
    • URI de S3: el URI del contenedor (el formato debe ser s3://log-bucket-name/). Sustituye lo siguiente:
      • log-bucket-name: el nombre del segmento.
    • El URI es un: selecciona Directorio o Directorio que incluye subdirectorios.
    • Opciones de eliminación de la fuente: selecciona No eliminar archivos nunca. Los datos del segmento de S3 se conservan durante 7 días antes de eliminarse.
    • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
    • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.

  9. Haz clic en Siguiente.

  10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.