Protokolle zu beobachteten Angriffstechniken von Trend Micro Vision One erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Protokolle zu beobachteten Angriffstechniken von Trend Micro Vision One mithilfe von AWS S3 in Google Security Operations aufnehmen. Der Parser wandelt die Logs vom JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf Trend Micro Vision One

Logging in Trend Micro Vision One konfigurieren

  1. Melden Sie sich in der Trend Micro Vision One-Konsole an.
  2. Gehen Sie zu Workflow und Automatisierung > Integration von Drittanbietern.
  3. Klicken Sie auf Google Security Operations SIEM.
  4. Klicken Sie unter Zugriffsschlüssel auf Schlüssel generieren.
  5. Kopieren und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel.
  6. Aktivieren Sie unter Datenübertragung die Ein/Aus-Schaltfläche neben Beobachtete Angriffstechniken.
  7. Ein S3-URI wird generiert und die Daten werden an den entsprechenden S3-Bucket gesendet.
  8. Kopieren und speichern Sie die S3-URL zur späteren Verwendung.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B. Trend Micro Vision One Observed Attack Techniques Logs.
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie Trend Micro Vision One Observed Attack Techniques als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Ersetzen Sie Folgendes:
      • log-bucket-name: der Name des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus. Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Geheimer Nutzersicherheitsschlüssel mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
  • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Ersetzen Sie Folgendes:
    • log-bucket-name: der Name des Buckets.
  • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
  • Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus. Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
  • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
  • Secret Access Key (Geheimer Zugriffsschlüssel): Geheimer Nutzersicherheitsschlüssel mit Zugriff auf den S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten