Raccogliere i log di Trend Micro Vision One

Supportato in:

Questo documento spiega come raccogliere i log di Trend Micro Vision One configurando un feed Google Security Operations. Il parser invia avvisi, dati sugli eventi, vulnerabilità dei container, dati sull'attività e audit log ai bucket AWS S3 gestiti da Trend Micro. Google SecOps recupera questi dati utilizzando i feed di dati ogni 15 minuti circa. I dati non recuperati nei bucket S3 vengono conservati per 7 giorni prima di essere eliminati.

Puoi creare più feed in Google SecOps e configurare individualmente i dati ottenuti utilizzando i feed.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a Trend Micro Vision One.

Configurare l'esportazione dei dati di Trend Vision One in Google SecOps

  1. Nella console Trend Vision One, genera la chiave di accesso e specifica i dati da inviare a Google SecOps.
  2. Vai a Workflow e Automation > Integrazione di terze parti.
  3. Nella colonna Integrazione, fai clic su Google Security Operations.
  4. In Chiave di accesso, fai clic su Genera chiave per generare l'ID chiave di accesso e la chiave di accesso segreta. Salva l'ID della chiave di accesso e la chiave di accesso segreta per utilizzarli in un secondo momento.
  5. Nella sezione Trasferimento dati, attiva il pulsante di attivazione/disattivazione accanto ai dati che vuoi inviare ai bucket S3. Ogni volta che viene attivato un trasferimento di dati, viene generato un URI S3 e i dati iniziano a essere inviati al bucket S3 corrispondente. Copia e memorizza l'URI S3 per un utilizzo successivo.
  6. Per Eventi e Dati sull'attività, fai clic su Modifica per modificare l'ambito dei dati.
  7. Per interrompere l'invio di un tipo di dati a Google SecOps, disattiva il pulsante di attivazione/disattivazione accanto ai dati. Se riattivi il trasferimento dei dati, viene generato un nuovo URI S3. Devi configurare un nuovo feed in Google SecOps.

Configura un feed in Google SecOps per importare i log di Trend Micro Vision One

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Trend Micro Vision One Workbench Logs.
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona i dati di Trend Vision One che vuoi che Google SecOps acquisisca come Tipo di log. Le opzioni disponibili includono:
    • Trend Micro Vision One
    • Trend Micro Vision One Activity
    • Trend Micro Vision One Audit
    • Trend Micro Vision One Container Vulnerabilities
    • Rilevamenti di Trend Micro Vision One
    • Trend Micro Vision One Observed Attack Techniques
    • Trend Micro Vision One Workbench
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Regione: seleziona Rilevamento automatico
    • URI S3: inserisci l'URI S3 ottenuto nella sezione precedente.
    • L'URI è un: seleziona Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file.
    • ID chiave di accesso: inserisci la chiave di accesso utente ottenuta nella sezione precedente.
    • Chiave di accesso segreta: inserisci la chiave segreta dell'utente con accesso al bucket S3 ottenuta nella sezione precedente.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Ripeti questa procedura per aggiungere più feed per tutti i tipi di dati di Trend Vision One che vuoi importare in Google SecOps.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.