Recopila registros de Trend Micro Vision One

Compatible con:

En este documento, se explica cómo configurar un feed de Google Security Operations para recopilar registros de Trend Micro Vision One. El analizador envía alertas, datos de eventos, vulnerabilidades de contenedores, datos de actividad y registros de auditoría a los buckets de S3 de AWS que administra Trend Micro. Google SecOps recupera estos datos mediante feeds de datos aproximadamente cada 15 minutos. Los datos no recuperados en los buckets de S3 se retienen durante 7 días antes de borrarse.

Puedes crear varios feeds en Google SecOps y configurar los datos obtenidos con los feeds de forma individual.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Trend Micro Vision One.

Configura la exportación de datos de Trend Vision One a Google SecOps

  1. En la consola de Trend Vision One, genera la clave de acceso y especifica los datos que se enviarán a Google SecOps.
  2. Ve a Flujo de trabajo y automatización > Integración de terceros.
  3. En la columna Integración, haz clic en Google Security Operations.
  4. En Clave de acceso, haz clic en Generar clave para generar el ID de clave de acceso y la clave de acceso secreta. Guarda el ID de clave de acceso y la clave de acceso secreta para usarlas más adelante.
  5. En Transferencia de datos, activa el botón de activación junto a los datos que deseas enviar a los buckets de S3. Cada vez que se habilita una transferencia de datos, se genera un URI de S3 y los datos comienzan a enviarse al bucket de S3 correspondiente. Copia y almacena el URI de S3 para usarlo más adelante.
  6. En Eventos y Datos de actividad, haz clic en Editar para modificar el alcance de los datos.
  7. Para dejar de enviar un tipo de datos a Google SecOps, desactiva el botón de activación junto a los datos. Si vuelves a habilitar la transferencia de datos, se generará un URI de S3 nuevo. Debes configurar un feed nuevo en Google SecOps.

Configura un feed en Google SecOps para transferir los registros de Trend Micro Vision One

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Trend Micro Vision One Workbench Logs.
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona los datos de Trend Vision One que deseas que Google SecOps transfiera como Tipo de registro. Estas son algunas de las opciones disponibles:
    • Trend Micro Vision One
    • Actividad de Trend Micro Vision One
    • Auditoría de Trend Micro Vision One
    • Vulnerabilidades de contenedores de Trend Micro Vision One
    • Detección de Trend Micro Vision One
    • Técnicas de ataque observadas en Trend Micro Vision One
    • Trend Micro Vision One Workbench
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Región: Selecciona Detección automática.
    • URI de S3: Ingresa el URI de S3 que obtuviste en la sección anterior.
    • El URI es un: selecciona Directorio que incluye subdirectorios.
    • Opciones de eliminación de la fuente: Selecciona No borrar archivos nunca.
    • ID de clave de acceso: Ingresa la clave de acceso del usuario que obtuviste en la sección anterior.
    • Clave de acceso secreta: Ingresa la clave secreta del usuario con acceso al bucket de S3 que obtuviste en la sección anterior.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Repite este proceso para agregar varios feeds para todos los tipos de datos de Trend Vision One que quieras transferir a Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.