Recopila registros de Trend Micro Vision One

Compatible con:

En este documento, se explica cómo recopilar registros de Trend Micro Vision One configurando un feed de Google Security Operations. El analizador envía alertas, datos de eventos, vulnerabilidades de contenedores, datos de actividad y registros de auditoría a los buckets de AWS S3 administrados por Trend Micro. Google SecOps recupera estos datos con feeds de datos aproximadamente cada 15 minutos. Los datos no recuperados en los buckets de S3 se conservan durante 7 días antes de que se borren.

Puedes crear varios feeds en Google SecOps y configurar los datos que se obtienen con cada uno de ellos de forma individual.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Trend Micro Vision One.

Configura la exportación de datos de Trend Vision One a Google SecOps

  1. En la consola de Trend Vision One, genera la clave de acceso y especifica los datos que se enviarán a Google SecOps.
  2. Ve a Workflow and Automation > Third-Party Integration.
  3. En la columna Integración, haz clic en Google Security Operations.
  4. En Clave de acceso, haz clic en Generar clave para generar el ID de la clave de acceso y la clave de acceso secreta. Guarda el ID de clave de acceso y la clave de acceso secreta para usarlos más adelante.
  5. En Transferencia de datos, activa el botón de activación junto a los datos que deseas enviar a los buckets de S3. Cada vez que se habilita una transferencia de datos, se genera un URI de S3 y se comienzan a enviar los datos al bucket de S3 correspondiente. Copia y almacena el URI de S3 para usarlo más adelante.
  6. En Eventos y Datos de actividad, haz clic en Editar para modificar el alcance de los datos.
  7. Para dejar de enviar un tipo de datos a Google SecOps, desactiva el botón de activación junto a los datos. Si vuelves a habilitar la transferencia de datos, se generará un nuevo URI de S3. Debes configurar un nuevo feed en Google SecOps.

Configura un feed en Google SecOps para transferir los registros de Trend Micro Vision One

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Trend Micro Vision One Workbench Logs.
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona los datos de Trend Vision One que deseas que Google SecOps ingiera como el Tipo de registro. Las opciones disponibles incluyen las siguientes:
    • Trend Micro Vision One
    • Actividad de Trend Micro Vision One
    • Auditoría de Trend Micro Vision One
    • Vulnerabilidades de contenedores de Trend Micro Vision One
    • Detecciones de Trend Micro Vision One
    • Técnicas de ataque observadas por Trend Micro Vision One
    • Trend Micro Vision One Workbench
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Región: Selecciona Detección automática.
    • URI de S3: Ingresa el URI de S3 que obtuviste en la sección anterior.
    • URI is a: Selecciona Directory which includes subdirectories.
    • Opciones de borrado de la fuente: Selecciona No borrar archivos nunca.
    • ID de clave de acceso: Ingresa la clave de acceso del usuario que obtuviste en la sección anterior.
    • Clave de acceso secreta: Ingresa la clave secreta del usuario con acceso al bucket de S3 que obtuviste en la sección anterior.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Repite este proceso para agregar varios feeds para todos los tipos de datos de Trend Vision One que quieras transferir a Google SecOps.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.