Recoger registros de vulnerabilidades de contenedores de Trend Micro Vision One

Disponible en:

En este documento se explica cómo ingerir registros de vulnerabilidades de contenedores de Trend Micro Vision One en Google Security Operations mediante AWS S3. El analizador transforma los registros de vulnerabilidades de contenedores de Trend Micro Vision One del formato JSON a un modelo de datos unificado (UDM).

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a Trend Micro Vision One

Configurar el registro en Trend Micro Vision One

  1. Inicia sesión en la consola de Trend Micro Vision One.
  2. Ve a Workflow and Automation > Third-Party Integration (Flujo de trabajo y automatización > Integración de terceros).
  3. Haz clic en Google Security Operations SIEM.
  4. En Clave de acceso, haz clic en Generar clave.
  5. Copia y guarda el ID de clave de acceso y la clave de acceso secreta.
  6. En Transferencia de datos, habilite el interruptor situado junto a Datos de vulnerabilidades de contenedores.
  7. Se genera un URI de S3 y los datos empiezan a enviarse al segmento de S3 correspondiente.
  8. Copia y guarda la URL de S3 para usarla más adelante.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Trend Micro Vision One Container Vulnerability Logs).
  5. Selecciona Amazon S3 como Tipo de fuente.
  6. Seleccione Trend Micro Vision One Container Vulnerability como Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • Región: la región en la que se encuentra el segmento de Amazon S3.
    • URI de S3: el URI del contenedor (el formato debe ser s3://log-bucket-name/). Sustituye lo siguiente:
      • log-bucket-name: el nombre del segmento.
    • El URI es un: selecciona Directorio o Directorio que incluye subdirectorios.
    • Opciones de eliminación de la fuente: selecciona No eliminar archivos nunca. Los datos del segmento de S3 se conservan durante 7 días antes de eliminarse.
    • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
    • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.

  9. Haz clic en Siguiente.

  10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.