Coletar registros de vulnerabilidade de contêineres do Trend Micro Vision One

Compatível com:

Este documento explica como ingerir registros de vulnerabilidade de contêiner do Trend Micro Vision One no Google Security Operations usando o AWS S3. O analisador transforma os registros de vulnerabilidade de contêiner do Trend Micro Vision One do formato JSON em um modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configurar o Logging no Trend Micro Vision One

  1. Faça login no console do Trend Micro Vision One.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e salve o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative a opção ao lado de Dados de vulnerabilidade do contêiner.
  7. Um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente.
  8. Copie e salve o URL do S3 para usar mais tarde.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Trend Micro Vision One Container Vulnerability Logs).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Vulnerabilidade do contêiner do Trend Micro Vision One como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.