Collecter les journaux Trend Micro Vision One

Compatible avec :

Ce document explique comment collecter les journaux Trend Micro Vision One en configurant un flux Google Security Operations. L'analyseur envoie des alertes, des données d'événement, des failles de conteneur, des données d'activité et des journaux d'audit aux buckets AWS S3 gérés par Trend Micro. Google SecOps récupère ces données à l'aide de flux de données environ toutes les 15 minutes. Les données non récupérées dans les buckets S3 sont conservées pendant sept jours avant d'être supprimées.

Vous pouvez créer plusieurs flux dans Google SecOps et configurer individuellement les données obtenues à l'aide de ces flux.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Trend Micro Vision One.

Configurer l'exportation de données Trend Vision One vers Google SecOps

  1. Dans la console Trend Vision One, générez la clé d'accès et spécifiez les données à envoyer à Google SecOps.
  2. Accédez à Workflow and Automation > Third-Party Integration (Workflow et automatisation > Intégration tierce).
  3. Dans la colonne Intégration, cliquez sur Google Security Operations.
  4. Sous Clé d'accès, cliquez sur Générer une clé pour générer l'ID de clé d'accès et la clé d'accès secrète. Enregistrez l'ID de clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  5. Sous Transfert de données, activez l'option à côté des données que vous souhaitez envoyer aux buckets S3. Chaque fois qu'un transfert de données est activé, un URI S3 est généré et les données commencent à être envoyées au bucket S3 correspondant. Copiez et stockez l'URI S3 pour une utilisation ultérieure.
  6. Pour les événements et les données d'activité, cliquez sur Modifier pour modifier le champ d'application des données.
  7. Pour arrêter d'envoyer un type de données à Google SecOps, désactivez le bouton bascule à côté des données. Si vous réactivez le transfert de données, un nouvel URI S3 sera généré. Vous devez configurer un flux dans Google SecOps.

Configurer un flux dans Google SecOps pour ingérer les journaux Trend Micro Vision One

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Trend Micro Vision One Workbench Logs).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez les données Trend Vision One que vous souhaitez que Google SecOps ingère en tant que type de journal. Voici quelques options disponibles :
    • Trend Micro Vision One
    • Activité Trend Micro Vision One
    • Audit Trend Micro Vision One
    • Failles de conteneur Trend Micro Vision One
    • Détections Trend Micro Vision One
    • Techniques d'attaque observées dans Trend Micro Vision One
    • Trend Micro Vision One Workbench
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Région : sélectionnez Détection automatique.
    • URI S3 : saisissez l'URI S3 obtenu dans la section précédente.
    • URI is a (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
    • Options de suppression de la source : sélectionnez Ne jamais supprimer les fichiers.
    • ID de clé d'accès : saisissez la clé d'accès utilisateur obtenue dans la section précédente.
    • Clé d'accès secrète : saisissez la clé secrète de l'utilisateur ayant accès au bucket S3 obtenue dans la section précédente.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Répétez cette procédure pour ajouter plusieurs flux pour tous les types de données Trend Vision One que vous souhaitez ingérer dans Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.