Recopilar registros de Trend Micro Vision One

Disponible en:

En este documento se explica cómo recoger registros de Trend Micro Vision One configurando un feed de Google Security Operations. El analizador envía alertas, datos de eventos, vulnerabilidades de contenedores, datos de actividad y registros de auditoría a los segmentos de AWS S3 gestionados por Trend Micro. Google SecOps obtiene estos datos mediante feeds de datos aproximadamente cada 15 minutos. Los datos no recuperados de los contenedores de S3 se conservan durante 7 días antes de eliminarse.

Puedes crear varios feeds en Google SecOps y configurar los datos obtenidos mediante los feeds de forma individual.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google SecOps.
  • Asegúrate de que tienes acceso privilegiado a Trend Micro Vision One.

Configurar la exportación de datos de Trend Vision One a Google SecOps

  1. En la consola de Trend Vision One, genera la clave de acceso y especifica los datos que quieres enviar a Google SecOps.
  2. Ve a Workflow and Automation > Third-Party Integration (Flujo de trabajo y automatización > Integración de terceros).
  3. En la columna Integración, haz clic en Google Security Operations.
  4. En Clave de acceso, haz clic en Generar clave para generar el ID de clave de acceso y la clave de acceso secreta. Guarda el ID de clave de acceso y la clave de acceso secreta para usarlos más adelante.
  5. En Transferencia de datos, activa el interruptor situado junto a los datos que quieras enviar a los contenedores de S3. Cada vez que se habilita una transferencia de datos, se genera un URI de S3 y los datos empiezan a enviarse al segmento de S3 correspondiente. Copia y almacena el URI de S3 para usarlo más adelante.
  6. En Eventos y Datos de actividad, haga clic en Editar para modificar el ámbito de los datos.
  7. Para dejar de enviar un tipo de datos a Google SecOps, desactiva el interruptor situado junto a los datos. Si vuelves a habilitar la transferencia de datos, se generará un nuevo URI de S3. Debes configurar un nuevo feed en Google SecOps.

Configurar un feed en Google SecOps para ingerir los registros de Trend Micro Vision One

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir nuevo.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Trend Micro Vision One Workbench Logs).
  4. Selecciona Amazon S3 como Tipo de fuente.
  5. Seleccione los datos de Trend Vision One que quiera que Google SecOps ingiera como Tipo de registro. Entre las opciones disponibles se incluyen las siguientes:
    • Trend Micro Vision One
    • Actividad de Trend Micro Vision One
    • Auditoría de Trend Micro Vision One
    • Vulnerabilidades de contenedores de Trend Micro Vision One
    • Detecciones de Trend Micro Vision One
    • Técnicas de ataque observadas de Trend Micro Vision One
    • Trend Micro Vision One Workbench
  6. Haz clic en Siguiente.
  7. Especifique valores para los siguientes parámetros de entrada:
    • Región: selecciona Detección automática.
    • URI de S3: introduce el URI de S3 que has obtenido en la sección anterior.
    • El URI es un: selecciona Directorio que incluye subdirectorios.
    • Opciones de eliminación de fuentes: selecciona No eliminar archivos nunca.
    • ID de clave de acceso: introduce la clave de acceso de usuario obtenida en la sección anterior.
    • Clave de acceso secreta: introduce la clave secreta del usuario con acceso al segmento de S3 que has obtenido en la sección anterior.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Repite este proceso para añadir varias fuentes de todos los tipos de datos de Trend Vision One que quieras ingerir en Google SecOps.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.