In diesem Dokument wird beschrieben, wie Sie Protokolle zu beobachteten Angriffstechniken von Trend Micro Vision One mithilfe von AWS S3 in Google Security Operations aufnehmen. Der Parser wandelt die Logs vom JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
Google SecOps-Instanz
Privilegierter Zugriff auf Trend Micro Vision One
Logging in Trend Micro Vision One konfigurieren
Melden Sie sich in der Trend Micro Vision One-Konsole an.
Gehen Sie zu Workflow und Automatisierung > Integration von Drittanbietern.
Klicken Sie auf Google Security Operations SIEM.
Klicken Sie unter Zugriffsschlüssel auf Schlüssel generieren.
Kopieren und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel.
Aktivieren Sie unter Datenübertragung die Ein/Aus-Schaltfläche neben Beobachtete Angriffstechniken.
Ein S3-URI wird generiert und die Daten werden an den entsprechenden S3-Bucket gesendet.
Kopieren und speichern Sie die S3-URL zur späteren Verwendung.
Feeds einrichten
So konfigurieren Sie einen Feed:
Rufen Sie die SIEM-Einstellungen> Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B. Trend Micro Vision One Observed Attack Techniques Logs.
Wählen Sie Amazon S3 als Quelltyp aus.
Wählen Sie Trend Micro Vision One Observed Attack Techniques als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
Region: Die Region, in der sich der Amazon S3-Bucket befindet.
S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein).
Ersetzen Sie Folgendes:
log-bucket-name: der Name des Buckets.
URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus. Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Secret Access Key (Geheimer Zugriffsschlüssel): Geheimer Nutzersicherheitsschlüssel mit Zugriff auf den S3-Bucket.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[],[],null,["# Collect Trend Micro Vision One Observed Attack Techniques logs\n==============================================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to ingest Trend Micro Vision One Observed Attack\nTechniques logs to Google Security Operations using AWS S3. The parser transforms\nthe logs from JSON format into a Unified Data Model (UDM).\n\nBefore you begin\n----------------\n\nMake sure you have the following prerequisites:\n\n- Google SecOps instance\n- Privileged access to Trend Micro Vision One\n\nConfigure Logging on Trend Micro Vision One\n-------------------------------------------\n\n1. Sign in to the **Trend Micro Vision One** console.\n2. Go to **Workflow and Automation \\\u003e Third-Party Integration**.\n3. Click **Google Security Operations SIEM**.\n4. Under **Access key** , click **Generate key**.\n5. Copy and save the **access key ID** and **secret access key**.\n6. Under **Data transfer** , enable the toggle next to **Observed Attack Techniques**.\n7. An S3 URI is generated and the data begins to be sent to the corresponding S3 bucket.\n8. Copy and save the S3 URL for use at a later time.\n\nSet up feeds\n------------\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings \\\u003e Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed (for example, `Trend Micro Vision One Observed Attack Techniques Logs`).\n5. Select **Amazon S3** as the **Source type**.\n6. Select **Trend Micro Vision One Observed Attack Techniques** as the **Log type**.\n7. Click **Next**.\n8. Specify values for the following input parameters:\n\n - **Region**: The region where the Amazon S3 bucket is located.\n - **S3 URI** : The bucket URI (the format should be: `s3://log-bucket-name/`). Replace the following:\n - `log-bucket-name`: the name of the bucket.\n - **URI is a** : Select **Directory** or **Directory which includes subdirectories**.\n - **Source deletion options** : Select **Never delete files**. Data in the S3 bucket is retained for 7 days before being purged.\n - **Access Key ID**: User access key with access to the S3 bucket.\n - **Secret Access Key**: User secret key with access to the S3 bucket.\n9. Click **Next**.\n\n10. Review your new feed configuration in the **Finalize** screen, and then click **Submit**.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
