Raccogliere gli audit log di Trend Micro Vision One

Supportato in:

Questo documento spiega come importare i log di controllo di Trend Micro Vision One in Google Security Operations utilizzando AWS S3. Il parser trasforma i log di controllo di Trend Micro Vision One dal formato JSON in un modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato a Trend Micro Vision One

Configura la registrazione su Trend Micro Vision One

  1. Accedi alla console Trend Micro Vision One.
  2. Vai a Workflow e Automation > Integrazione di terze parti.
  3. Fai clic su Google Security Operations SIEM.
  4. Nella sezione Chiave di accesso, fai clic su Genera chiave.
  5. Copia e salva l'ID chiave di accesso e la chiave di accesso segreta.
  6. In Trasferimento dei dati, attiva il pulsante di attivazione/disattivazione accanto a Dati di controllo.
  7. Viene generato un URI S3 e i dati iniziano a essere inviati al bucket S3 corrispondente.
  8. Copia e salva l'URL S3 per utilizzarlo in un secondo momento.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Trend Micro Vision One Audit Logs).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Trend Micro Vision One Audit come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Region (Regione): la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket (il formato deve essere s3://log-bucket-name/). Sostituisci quanto segue:
      • log-bucket-name: il nome del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Region (Regione): la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket (il formato deve essere s3://log-bucket-name/). Sostituisci quanto segue:
      • log-bucket-name: il nome del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.