Trend Micro Vision One-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Trend Micro Vision One-Protokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten. Der Parser sendet Benachrichtigungen, Ereignisdaten, Containerlücken, Aktivitätsdaten und Prüfprotokolle an von Trend Micro verwaltete AWS S3-Buckets. Google SecOps ruft diese Daten etwa alle 15 Minuten über Datenfeeds ab. Nicht abgerufene Daten in den S3-Buckets werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.

Sie können mehrere Feeds in Google SecOps erstellen und die mit den Feeds erfassten Daten einzeln konfigurieren.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Trend Micro Vision One.

Trend Vision One-Datenexport zu Google SecOps konfigurieren

  1. Generieren Sie in der Trend Vision One-Konsole den Zugriffsschlüssel und geben Sie die Daten an, die an Google SecOps gesendet werden sollen.
  2. Gehen Sie zu Workflow und Automatisierung > Integrationen von Drittanbietern.
  3. Klicken Sie in der Spalte Integration auf Google Security Operations.
  4. Klicken Sie unter Zugriffsschlüssel auf Schlüssel generieren, um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zu generieren. Speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel für später.
  5. Aktivieren Sie unter Datenübertragung die Ein/Aus-Schaltfläche neben den Daten, die Sie an S3-Buckets senden möchten. Sobald eine Datenübertragung aktiviert ist, wird ein S3-URI generiert und die Daten werden an den entsprechenden S3-Bucket gesendet. Kopieren Sie den S3-URI und speichern Sie ihn zur späteren Verwendung.
  6. Klicken Sie bei Ereignissen und Aktivitätsdaten auf Bearbeiten, um den Umfang der Daten zu ändern.
  7. Wenn Sie den Versand einer Datenart an Google SecOps beenden möchten, deaktivieren Sie die Ein/Aus-Schaltfläche neben den Daten. Wenn Sie die Datenübertragung wieder aktivieren, wird eine neue S3-URI generiert. Sie müssen einen neuen Feed in Google SecOps konfigurieren.

Feed in Google SecOps konfigurieren, um Trend Micro Vision One-Protokolle zu übernehmen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Trend Micro Vision One Workbench Logs.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie als Log-Typ die Trend Vision One-Daten aus, die von Google SecOps aufgenommen werden sollen. Folgende Optionen sind verfügbar:
    • Trend Micro Vision One
    • Trend Micro Vision One-Aktivität
    • Trend Micro Vision One Audit
    • Sicherheitslücken in Trend Micro Vision One-Containern
    • Trend Micro Vision One-Erkenntnisse
    • Von Trend Micro Vision One beobachtete Angriffstechniken
    • Trend Micro Vision One Workbench
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Region: Wählen Sie Automatisch erkennen aus.
    • S3-URI: Geben Sie den S3-URI ein, den Sie im vorherigen Abschnitt erhalten haben.
    • URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen der Quelle: Wählen Sie Dateien nie löschen aus.
    • Access Key ID (Zugriffsschlüssel-ID): Geben Sie den Nutzerzugriffsschlüssel ein, den Sie im vorherigen Abschnitt erhalten haben.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Geben Sie den geheimen Nutzerschlüssel mit Zugriff auf den S3-Bucket ein, den Sie im vorherigen Abschnitt erhalten haben.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Wiederholen Sie diesen Vorgang, um mehrere Feeds für alle Trend Vision One-Datentypen hinzuzufügen, die Sie in Google SecOps aufnehmen möchten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten