Trend Micro Vision One アクティビティ ログを収集する

以下でサポートされています。

このドキュメントでは、AWS S3 を使用して Trend Micro Vision One アクティビティ ログを Google Security Operations に取り込む方法について説明します。パーサーは、Trend Micro Vision One アクティビティ ログを JSON 形式から Unified Data Model(UDM)に変換します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Trend Micro Vision One への特権アクセス。

Trend Micro Vision One でロギングを構成する

  1. Trend Micro Vision One コンソールにログインします。
  2. [Workflow and Automation] > [Third-Party Integration] に移動します。
  3. [Google Security Operations SIEM] をクリックします。
  4. [アクセスキー] で [キーを生成] をクリックします。
  5. アクセスキー IDシークレット アクセスキーをコピーして保存します。
  6. [データ転送] で、[アクティビティ データ] の横にある切り替えボタンを有効にします。
  7. S3 URI が生成され、対応する S3 バケットへのデータの送信が開始されます。
  8. S3 URI をコピーして安全な場所に保存します。
  9. (省略可): イベントデータとアクティビティ データの場合は、[編集] をクリックしてデータのスコープを変更します(スコープを変更しても、生成された S3 URI は変更されません)。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Trend Micro Vision One アクティビティ ログ)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] として [Trend Micro Vision One Activity] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI(形式は s3://log-bucket-name/ にする必要があります)。次の内容を置き換えます。
      • log-bucket-name: バケットの名前。
    • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
    • ソース削除オプション: [ファイルを削除しない] を選択します。S3 バケット内のデータは、削除されるまで 7 日間保持されます。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI(形式は s3://log-bucket-name/ にする必要があります)。次の内容を置き換えます。
      • log-bucket-name: バケットの名前。
    • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
    • ソース削除オプション: [ファイルを削除しない] を選択します。S3 バケット内のデータは、削除されるまで 7 日間保持されます。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。