Trend Micro Vision One-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Trend Micro Vision One-Logs erfassen, indem Sie einen Google Security Operations-Feed einrichten. Der Parser überträgt Benachrichtigungen, Ereignisdaten, Container-Schwachstellen, Aktivitätsdaten und Audit-Logs in von Trend Micro verwaltete AWS S3-Buckets. Google SecOps ruft diese Daten etwa alle 15 Minuten über Datenfeeds ab. Nicht abgerufene Daten in den S3-Buckets werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.

Sie können mehrere Feeds in Google SecOps erstellen und die über die Feeds abgerufenen Daten individuell konfigurieren.

Hinweise

• Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
• Sie benötigen privilegierten Zugriff auf Trend Micro Vision One.

Trend Vision One-Datenexport zu Google SecOps konfigurieren

1. Generieren Sie in der Trend Vision One-Konsole den Zugriffsschlüssel und geben Sie die Daten an, die an Google SecOps gesendet werden sollen.
2. Gehen Sie zu Workflow und Automatisierung > Integration von Drittanbietern.
3. Klicken Sie in der Spalte Integration auf Google Security Operations.
4. Klicken Sie unter Zugriffsschlüssel auf Schlüssel generieren, um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zu generieren. Speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel für die spätere Verwendung.
5. Aktivieren Sie unter Datenübertragung die Ein/Aus-Schaltfläche neben den Daten, die Sie an S3-Datenbehälter senden möchten. Immer wenn eine Datenübertragung aktiviert wird, wird ein S3-URI generiert und die Daten werden an den entsprechenden S3-Bucket gesendet. Kopieren und speichern Sie den S3-URI zur späteren Verwendung.
6. Klicken Sie bei Ereignisse und Aktivitätsdaten auf Bearbeiten, um den Umfang der Daten zu ändern.
7. Wenn Sie einen Datentyp nicht mehr an Google SecOps senden möchten, deaktivieren Sie den Schalter neben den Daten. Wenn Sie die Datenübertragung wieder aktivieren, wird ein neuer S3-URI generiert. Sie müssen einen neuen Feed in Google SecOps konfigurieren.

Feed in Google SecOps konfigurieren, um die Trend Micro Vision One-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Trend Micro Vision One Workbench Logs.
4. Wählen Sie Amazon S3 als Quelltyp aus.
5. Wählen Sie die Trend Vision One-Daten aus, die von Google SecOps aufgenommen werden sollen, und geben Sie sie als Log type (Protokolltyp) an. Folgende Optionen sind verfügbar:
   • Trend Micro Vision One
   • Trend Micro Vision One-Aktivität
   • Trend Micro Vision One Audit
   • Trend Micro Vision One Container Vulnerabilities
   • Trend Micro Vision One-Erkennungen
   • Trend Micro Vision One Observed Attack Techniques
   • Trend Micro Vision One Workbench
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • Region: Wählen Sie Automatisch erkennen aus.
   • S3-URI: Geben Sie den S3-URI ein, den Sie im vorherigen Abschnitt abgerufen haben.
   • URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
   • Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus.
   • Access Key ID (Zugriffsschlüssel-ID): Geben Sie den Nutzerzugriffsschlüssel ein, den Sie im vorherigen Abschnitt erhalten haben.
   • Secret Access Key (Geheimer Zugriffsschlüssel): Geben Sie den geheimen Schlüssel des Nutzers mit Zugriff auf den S3-Bucket ein, den Sie im vorherigen Abschnitt erhalten haben.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
8. Klicken Sie auf Weiter.
9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Wiederholen Sie diesen Vorgang, um mehrere Feeds für alle Trend Vision One-Datentypen hinzuzufügen, die Sie in Google SecOps aufnehmen möchten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten