Recolha registos de auditoria do Trend Micro Vision One

Compatível com:

Este documento explica como carregar registos de auditoria do Trend Micro Vision One para o Google Security Operations através do AWS S3. O analisador transforma os registos de auditoria do Trend Micro Vision One do formato JSON num modelo de dados unificado (UDM).

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configure o registo no Trend Micro Vision One

  1. Inicie sessão na consola Trend Micro Vision One.
  2. Aceda a Fluxo de trabalho e automatização > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e guarde o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative o botão junto a Dados de auditoria.
  7. É gerado um URI do S3 e os dados começam a ser enviados para o contentor do S3 correspondente.
  8. Copie e guarde o URL do S3 para utilização posterior.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Trend Micro Vision One Audit Logs).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Trend Micro Vision One Audit como o Tipo de registo.
  7. Clicar em Seguinte.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região onde o contentor do Amazon S3 está localizado.
    • URI do S3: o URI do contentor (o formato deve ser: s3://log-bucket-name/). Substitua o seguinte:
      • log-bucket-name: o nome do segmento.
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de eliminação de origens: selecione Nunca eliminar ficheiros. Os dados no contentor do S3 são retidos durante 7 dias antes de serem limpos.
    • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
    • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.

  9. Clicar em Seguinte.

  10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.