Coletar registros de detecções do Trend Micro Vision One

Compatível com:

Este documento explica como ingerir registros de detecções do Trend Micro Vision One no Google Security Operations usando o AWS S3. O analisador transforma os registros de detecção do Trend Micro Vision One do formato JSON em um modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configurar o Logging no Trend Micro Vision One

  1. Faça login no console do Trend Micro Vision One.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e salve o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative a opção ao lado de Dados de detecções.
  7. Um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente.
  8. Copie e salve o URL do S3 para usar mais tarde.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Trend Micro Vision One Detections Logs).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Detecções do Trend Micro Vision One como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • O URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.