Recopila registros de detecciones de Trend Micro Vision One

Compatible con:

En este documento, se explica cómo transferir registros de detecciones de Trend Micro Vision One a Google Security Operations con AWS S3. El analizador transforma los registros de detecciones de Trend Micro Vision One del formato JSON a un modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso con privilegios a Trend Micro Vision One

Configura el registro en Trend Micro Vision One

  1. Accede a la consola de Trend Micro Vision One.
  2. Ve a Workflow and Automation > Third-Party Integration.
  3. Haz clic en Google Security Operations SIEM.
  4. En Clave de acceso, haz clic en Generar clave.
  5. Copia y guarda el ID de clave de acceso y la clave de acceso secreta.
  6. En Transferencia de datos, habilita el botón de activación junto a Datos de detecciones.
  7. Se genera un URI de S3 y se comienzan a enviar los datos al bucket de S3 correspondiente.
  8. Copia y guarda la URL de S3 para usarla más adelante.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Trend Micro Vision One Detections Logs).
  5. Selecciona Amazon S3 como el Tipo de fuente.
  6. Selecciona Trend Micro Vision One Detections como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket (el formato debe ser s3://log-bucket-name/). Reemplaza lo siguiente:
      • log-bucket-name: el nombre del bucket.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
    • Opciones de borrado de la fuente: Selecciona No borrar archivos nunca. Los datos del bucket de S3 se conservan durante 7 días antes de que se borren.
    • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket (el formato debe ser s3://log-bucket-name/). Reemplaza lo siguiente:
      • log-bucket-name: el nombre del bucket.
    • El URI es un: Selecciona Directorio o Directorio que incluye subdirectorios.
    • Opciones de borrado de la fuente: Selecciona No borrar archivos nunca. Los datos del bucket de S3 se conservan durante 7 días antes de que se borren.
    • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.