Recolha registos de atividade do Trend Micro Vision One

Compatível com:

Este documento explica como carregar registos de atividade do Trend Micro Vision One para o Google Security Operations através do AWS S3. O analisador transforma os registos de atividade do Trend Micro VisionOne do formato JSON num modelo de dados unificado (UDM).

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One.

Configure o registo no Trend Micro Vision One

  1. Inicie sessão na consola Trend Micro Vision One.
  2. Aceda a Fluxo de trabalho e automatização > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e guarde o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative o botão junto a Dados de atividade.
  7. É gerado um URI do S3 e os dados começam a ser enviados para o contentor do S3 correspondente.
  8. Copie e guarde o URI do S3 num local seguro.
  9. (Opcional): para dados de eventos e atividades, clique em Editar para modificar o âmbito dos dados (a modificação do âmbito não altera o URI S3 gerado).

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, registos de atividade do Trend Micro Vision One).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Atividade do Trend Micro Vision One como o Tipo de registo.
  7. Clicar em Seguinte.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região onde o contentor do Amazon S3 está localizado.
    • URI do S3: o URI do contentor (o formato deve ser: s3://log-bucket-name/). Substitua o seguinte:
      • log-bucket-name: o nome do segmento.
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de eliminação de origens: selecione Nunca eliminar ficheiros. Os dados no contentor do S3 são retidos durante 7 dias antes de serem limpos.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.

  9. Clicar em Seguinte.

  10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.