Trend Micro Vision One の確認された攻撃手法のログを収集する

以下でサポートされています。

このドキュメントでは、AWS S3 を使用して Trend Micro Vision One Observed Attack Techniques ログを Google Security Operations に取り込む方法について説明します。パーサーは、ログを JSON 形式から Unified Data Model(UDM)に変換します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Trend Micro Vision One への特権アクセス

Trend Micro Vision One でロギングを構成する

  1. Trend Micro Vision One コンソールにログインします。
  2. [Workflow and Automation] > [Third-Party Integration] に移動します。
  3. [Google Security Operations SIEM] をクリックします。
  4. [アクセスキー] で、[キーを生成] をクリックします。
  5. アクセスキー IDシークレット アクセスキーをコピーして保存します。
  6. [データ転送] で、[観測された攻撃手法] の横にある切り替えボタンを有効にします。
  7. S3 URI が生成され、対応する S3 バケットへのデータの送信が開始されます。
  8. 後で使用するために、S3 URL をコピーして保存します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Trend Micro Vision One Observed Attack Techniques Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] として [Trend Micro Vision One Observed Attack Techniques] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。
    • S3 URI: バケット URI(形式は s3://log-bucket-name/ にする必要があります)。次の内容を置き換えます。
      • log-bucket-name: バケットの名前。
    • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
    • ソース削除オプション: [ファイルを削除しない] を選択します。S3 バケット内のデータは、削除されるまで 7 日間保持されます。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。
  • S3 URI: バケット URI(形式は s3://log-bucket-name/ にする必要があります)。次の内容を置き換えます。
    • log-bucket-name: バケットの名前。
  • URI is a: [ディレクトリ] または [サブディレクトリを含むディレクトリ] を選択します。
  • ソース削除オプション: [ファイルを削除しない] を選択します。S3 バケット内のデータは、削除されるまで 7 日間保持されます。
  • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
  • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。